PARTNER RAPORTU RAPORT SPECJALNY ZARZĄDZANIE RYZYKIEM SPONSORZY RAPORTU:

Transkrypt

1 PARTNER RAPORTU RAPORT SPECJALNY ZARZĄDZANIE RYZYKIEM SPONSORZY RAPORTU:

2 Podejmijmy ryzyko! Zespół menedżerów ryzyka, członków Polskiego Stowarzyszenia Zarządzania Ryzykiem (POLRISK), podjął ryzyko, którym było sporządzenie raportu poruszającego jednocześnie wiele zagadnień, z pełną świadomością, że nie są to wszystkie kwestie i nie zostały wyłożone w sposób kompletny. Odzwierciedla to poniekąd wyzwanie, jakie stoi przed Stowarzyszeniem na naszym rynku: opanować i zrealizować jednocześnie kilka powiązanych ze sobą i niecierpiących zwłoki celów: podniesienie świadomości polskiego biznesu czym jest zarządzanie ryzykiem; podniesienie profesjonalizmu polskich risk managerów; wyprostowanie nieporozumień językowych wokół zarządzania ryzykiem; doprowadzenie do uruchomienia dostępnego publicznie kursu zarządzania ryzykiem na wysokim poziomie merytorycznym. Oddajemy w Państwa ręce ten raport, mając świadomość, że znajdą w nim Państwo więcej pytań niż odpowiedzi. Stwierdziwszy najpierw, że zarząd powinien umieć zademonstrować akcjonariuszom, że panuje nad całą firmą i jej bezpośrednim otoczeniem biznesowym coraz bardziej zmiennym i nieprzyjaznym pytamy: czy kultura zarządcza w polskich firmach zachęca czy też zniechęca menedżerów do podejmowania wyzwań i ryzyka? Znani mi risk managerowie z Wielkiej Brytanii są przekonani, że polskie zarządy są skłonne do podejmowania większego ryzyka niż zarządy brytyjskie. Czy jednak podejmowane są właściwe rodzaje ryzyka? Przedstawiamy naszą krytyczną ocenę stanu zaawansowania zintegrowanego zarządzania ryzykiem (ERM) w Polsce, gdzie firmy często próbują bezkrytycznie naśladować banki rządzące się przecież odrębnymi prawami własnego rynku i Bazylei II i uświadamiają sobie jedynie niezmiernie wąski, wcale nie najważniejszy wycinek zagadnienia ryzyka. W propagowaniu rozwiniętej, dojrzalej formy ERM przeszkadzają w Polsce nieporozumienia co do znaczenia używanych terminów. W kontekście ERM próbuje się powszechnie używać terminologii właściwej tylko dla banków i instytucji finansowych. Sztandarowe ryzyko operacyjne, które w bankowości ma swoje znaczenie (notabene obnażające banki wrzucając wszystko, co niefinansowe do jednego worka, dalekie są jeszcze od prawdziwego ERM), w zintegrowanym zarządzaniu ryzykiem jest nic nieznaczącym szwargotem lub w najlepszym wypadku niedopuszczalnym ogólnikiem. Z bankowości zapożyczono takżę ciągle pokutujące zabezpieczanie ryzyka i to nawet w prasie fachowej, np. w Harvard Business Review Polska. Zabezpieczyć można pistolet lub dom przed włamaniem, ale nie ryzyko. Jak dowiemy się z opracowania POLRISK, ryzyko można za to na przykład minimalizować, redukując jego skutek lub zmniejszając prawdopodobieństwo jego wystąpienia (tzw. prewencja). Ale POLRISK już pomyślał o wyprostowaniu tego problemu językowego: powstał nasz słownik angielsko-polski, zawierający sto najczęściej używanych terminów, niebawem będzie on dostępny na naszej witrynie internetowej. W raporcie pokazujemy, że zarządzanie ryzykiem nie jest dyscypliną wyizolowaną: przenika się z corporate governance, Rafał Rudnicki menedżer ryzyka i ubezpieczeń w logistycznej Grupie Raben współzałożyciel i prezes Zarządu Stowarzyszenia POLRISK członek AIRMIC (brytyjskie stowarzyszenie risk managerów) członek Zarządu FERMA (Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem) niezależny konsultant, wykładowca i autor artykułów nt. zarządzania ryzykiem, m.in. w Strategic Risk, Business Insurance Europe, Miesięczniku Ubezpieczeniowym, Harvard Busines Review Polska, Asekuracja & R e, Gazecie Prawnej wewnętrznej kontroli oraz business continuity management i zarządzaniem kryzysowym. Tłumaczymy, dlaczego nie ma jednego sposobu zarządzania ryzykiem, jakie są najpowszechniej stosowane standardy i dobre praktyki oraz dlaczego tak trudno dobrać ten jeden, najwłaściwszy dla przedsiębiorstwa system. W tym miejscu nie mogę nie uczynić ważnej dygresji: niedawno Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem (FERMA), której POLRISK jest członkiem, zajęła krytyczne stanowisko wobec próby przyjęcia standardu ISO dotyczącego zarządzania ryzykiem i obowiązku certyfikowania, jak to ma miejsce w przypadku ISO 9001 lub ISO Argumenty przytaczane przez FERMA są w całej rozciągłości akceptowane przez piszącego te słowa: najlepszy nawet standard nie mógłby właściwie pomieścić tak szerokiej i różnorodnej dyscypliny jak zarządzanie ryzykiem; firmy stosowały i nadal będą stosować różne metodologie, zasady i priorytety w zarządzaniu ryzykiem, choćby dlatego, że funkcjonują na różnych rynkach czy w różnych branżach; firma będzie musiała przeznaczyć istotne zasoby na wprowadzenie i utrzymanie certyfikacji ISO w zarządzaniu ryzykiem, obniżając tym samym swoją konkurencyjność (co byłoby sprzeczne z celami ERM np. z poprawą konkurencyjności) zgodność ze standardem ISO może dawać zarządowi, udziałowcom, klientom i regulatorowi złudne przekonanie o bezpieczeństwie i panowaniu nad sytuacją. Zdaniem piszącego, należy dorzucić jeszcze jeden niebagatelny argument przeciw: wprowadzenie standardu ISO i wymogu certyfikacji sprowadziłoby rolę risk managementu do zagadnienia zgodności (compliance), osiąganej najmniejszym kosztem, i to wyłącznie na papierze. Tym samym uśmierciłoby ideę zarządzania ryzykiem, które powinno być motorem zmieniającym na wskroś kulturę korporacyjną i dyscyplinę zarządczą. Zapoznając się z najnowszym raportem firmy Marsh na temat stanu zarządzania ryzykiem w polskich firmach, nie mogłem się oprzeć refleksji, że percepcja ryzyka jest rzeczywiście subiektywna. Badania Marsh wskazują, że polskie przedsiębiorstwa za swoje najgroźniejsze ryzyko uważają m.in. ryzyko kursowe i kredytów handlowych. Jest to o tyle zastanawiające, że podobnie jak inne rodzaje ryzyka czysto finansowego zostały już one dawno poznane, rozpracowane i w wielu wypadkach również uregulowane, jeśli chodzi o sposoby i narzędzia ich minimalizowania. Dlatego też są to obiektywnie, relatywnie niskie rodzaje ryzyka. Nie wspomina się natomiast o zatrważającym wprost i obecnym na skalę już narodową ryzyku ucieczki know how i młodej, przedsiębiorczej, wykwalifikowanej siły roboczej z kraju, w tym przyszłej kadry menedżerskiej. Dzisiejszy brak zdecydowanych działań mających na celu zarządzanie ryzykiem zapewne odbije się w przyszłości koniecznością zarządzania kryzysem. Skoro już redakcja CFO podjęła ryzyko dopuszczenia mnie do pióra, pozwolę sobie postawić kolejne wywrotowe tezy: zarządzanie ryzykiem to nie ubezpieczanie, jak niestety ciągle uważa większość polskich przedsiębiorców, ubezpieczanie to nie transfer ryzyka lub forma zarządzania nim, jak próbuje przekonywać większość ubezpieczycieli i brokerów, a tylko forma finansowania (często dość lichego), niektórych jego skutków. Mam świadomość, że z ostatnią tezą większość ubezpieczycieli gotowa byłaby zacięcie się nie zgadzać. Ale między innymi posiadanie własnej opinii powinno dowodzić niezależności menedżerów ryzyka od rynku ubezpieczeniowego. Niezależności, jaką polska społeczność risk managerów, mam nadzieję, niebawem wypracuje. Czy menedżer ryzyka do końca jest partnerem brokera i ubezpieczyciela? Tzw. transparency, problem jawności i sposobu konstruowania wynagrodzenia brokerów, ciągle natrafia w Europie na opór i niechęć tych ostatnich, co odbija się niezadowoleniem społeczności risk managerów z takiego stanu rzeczy i przymiarkami regulatora europejskiego do dyscyplinowania rynku ubezpieczeniowego. Z kolei badanie AIRMIC pod hasłem Willingness to pay, ma na celu ujawnienie, w jakim stopniu poszczególni ubezpieczyciele w Wielkiej Brytanii są skłonni szybko i w pełni wypłacić należne roszczenia ubezpieczeniowe. Badaniepowstało w związku z niezadowoleniem risk managerów z postawy części ubezpieczycieli, utrudniających lub odwlekających wypłatę należnych odszkodowań. Z zainteresowaniem będziemy w Polsce śledzić to przedsięwzięcie na Wyspach i przymierzać się do podobnego u nas. Oba zjawiska stanowią świadectwa przełamywania dotychczasowych tabu i barier przez europejską społeczność menedżerów ryzyka oraz monopolu przedstawicieli rynku ubezpieczeniowego na wizję zarządzania ryzykiem. Czas, aby świadome firmy i ich menedżerowie ryzyka zaczęli sami przejmować inicjatywę i brać ryzyko w swoje ręce. Zamykając ten wątek: nie chowajmy się przed ryzykiem, lecz podejmujmy go jak najwięcej w końcu na tym polega nowoczesne ERM. W drugiej części raportu znajdą Państwo rozważania poświęcone wielowątkowości i różnorodności zarządzania ryzykiem. Krytykę złej praktyki staramy się zbilansować małym poradnikiem dla początkującej w tajnikach ERM firmy. Na koniec przybliżamy osobę (funkcję) typowego menedżera ryzyka i społeczność risk managerów. Życzę Państwu pouczającej lektury i wyrażam nadzieję, iż w przyszłości znów zaistniejemy na łamach sprzyjającego nam CFO. Rafał Rudnicki Prezes Zarządu Stowarzyszenia POLRISK W naszych tekstach wykorzystaliśmy badania FERMA, a także prace finansowane lub przeprowadzane przez członków bądź partnerów POLRISK, ACE, Aon, E&Y, Marsh oraz przez Deloitte.

3 Zintegrowane zarządzanie ryzykiem LUKSUS CZY KONIECZNOŚĆ Rafał Rudnicki, risk & insurance manager, Raben Group Janusz Słobosz, risk consulting manager, Aon Polska Zdolność postrzegania ryzyka ze zrozumieniem jest fundamentalnym czynnikiem umożliwiającym działanie w dzisiejszym otoczeniu biznesowym. Bez właściwego rozpoznania i zrozumienia ryzyka trudno jest inwestować i podejmować właściwe inicjatywy biznesowe. W takim ujęciu ryzyko ma smak zarówno słodki, jak i gorzki. Aby członkowie wyższego kierownictwa mogli sobie uzmysłowić, dlaczego zintegrowane zarządzanie ryzykiem (Enterprise Risk Management ERM) jest dziś ważne dla coraz większej liczby polskich firm również dla ich firmy wystarczy, że zadadzą sobie kilka fundamentalnych pytań: Czy Ty i Twój zarząd rozumiecie główne rodzaje ryzyka wpływające na firmę jako całość? Jaki dokładnie jest Wasz stopień narażenia na ryzyko? Na ile jesteście pewni swojej oceny? Na ile skutecznie w Twojej firmie porównuje się i zestawia rodzaje ryzyka pochodzące z różnych obszarów działań (np. porównywanie ryzyka finansowego z ryzykiem politycznym lub ryzykiem w obszarze zasobów ludzkich)? Jakie kompetencje mają poszczególni menedżerowie, którzy, naszym zdaniem, umieją prawidłowo zarządzać ryzykiem? Czy są one wystarczające? Jakich umiejętności im potrzeba? Czy jesteś teraz pewny, czytając ten tekst, że Twoja firma podjęła właściwe decyzje i kroki, dzięki którym może poradzić sobie z głównymi rodzajami ryzyka wpływającymi na firmę? Jakie zasoby będą musiały być poświęcone postępowaniu z ryzykiem i jego monitorowaniu w ciągu najbliższych 12 miesięcy? Jak możemy się zorientować, czy nasze wysiłki poświęcone zarządzaniu ryzykiem przynoszą oczekiwane rezultaty? I w końcu, być może, najważniejsze pytania: Czy kultura zarządcza w Twojej firmie zachęca lub zniechęca menedżerów do podejmowania wyzwań i ryzyka oraz czy są to wyzwania o właściwym poziomie ryzyka? Prawdopodobnie nikt z Państwa nie odpowie twierdząco na wszystkie pytania. Z punktu widzenia praktyka i członka zarządu, co najmniej trzy cechy dobrego zarządzania ryzykiem pozwalają pogłębić refleksję nad tymi pytaniami i ukazać je we właściwym kontekście. Po pierwsze, zarząd zwykle nie działa dla siebie, lecz dla właścicieli (akcjonariuszy), dlatego powinien umieć zademonstrować im, że panuje nad całą firmą i jej bezpośrednim otoczeniem biznesowym i że będzie tak również w przyszłości. ERM jest doskonałym sposobem, aby to zrobić. Po drugie, ERM dostarcza mechanizmu pozwalającego menedżerom niższego szczebla podejmować większe ryzyko w sposób kontrolowany i zgodny z celami firmy, a tym samym zwiększać jej konkurencyjność. I w końcu, ERM jest systemem zarządczym, który rodzi się na górze i kaskaduje od najwyższych do najniższych poziomów zarządczych; ponadto wymusza na menedżerach każdego szczebla myślenie perspektywiczne, długofalowe. W ten sposób menedżerowie niższych szczebli stają się lepszymi partnerami dla zarządów, którym łatwiej jest znaleźć z nimi wspólny język. Dlaczego zarządzanie ryzykiem jest tak istotne właśnie teraz? Polscy przedsiębiorcy podejmując decyzje, muszą uwzględnić coraz więcej zmiennych, które im dostarcza szybko zmieniające się otoczenie biznesowe. Istotne rodzaje ryzyka określone kilka lat temu przechodzą na dalszy plan ze względu na ich lepsze rozpoznanie oraz wypracowanie skutecznych lub nowych metod postępowania z nimi. Nie oznacza to, że zniknęły, ale zostają przyćmione nowymi zagrożeniami. Ta dynamiczna sytuacja wymaga od zarządzających innego podejścia i narzędzi pozwalających skutecznie sprostać nowym wyzwaniom. Tradycyjnie kierownictwo wyższego szczebla zajmowało się obszarami ryzyka operacyjnego i finansowego. Obecnie muszą zmagać się ze zróżnicowanymi, złożonymi i egzotycznymi kwestiami, takimi jak: kryzysy reputacji, niepokoje pracownicze, pandemia i wpływ nowych regulacji na prowadzoną działalność. Ta sytuacja odzwierciedlona jest w ostatnim badaniu Aon Global Risk Management Survey i we wskazaniach głównych rodzajów ryzyka wytypowanych przez respondentów (tabela 1). Tabela 1. Główne rodzaje ryzyka wg wskazań respondentów Częstotliwość Opis ryzyka 1 Utrata reputacji 2 Przerwa dzałalności 3 Odpowiedzialność cywilna Źródło: Aon Global Risk Management Survey 2007 Z raportu wynika również, że rodzaje ryzyka, które najbardziej martwią zarządzających, są najsłabiej zarządzane ze względu na ich złożoność, trudności w postępowaniu z nimi, małą przewidywalność i obejmują swym zasięgiem całą organizację (tabela 2). Ilustracja: Getty Images/FPM

4 Wymagają one innowacyjnych rozwiązań, których trudno szukać w dotychczasowych doświadczeniach i wachlarzu opracowanych metod zarządzania ryzykiem. Tabela 2. Gotowość do zarządzania ryzykiem Opis ryzyka Utrata reputacji 52% Przerwa dzałalności 30% Odpowiedzialność cywilna Respondenci nieprzygotowani na to ryzyko 25% Źródło: Aon Global Risk Management Survey 2007 W tym kontekście takie kwestie, jak: identyfikacja, kwantyfikacja i analiza ryzyka, staną się priorytetowe w nadchodzących latach. Zarządzanie ryzykiem na bazie całego przedsiębiorstwa (ERM) będzie jednym z najważniejszych zadań w organizacjach, zastępując obecną koncentrację wysiłków w kierunku zgodności działania z przepisami/regulacjami i raportowaniem z wykonania tych obowiązków. Tak przynajmniej jest w dużych organizacjach i wybranych sektorach. Integralnym elementem ERM jest pozycja risk managera lub jego nowsze określenie i również szerszy zakres odpowiedzialności niż tradycyjnie chief risk officer (CRO). Rola CRO jest najbardziej widoczna w sektorach regulowanych, takich jak bankowość czy ubezpieczenia, jednakże również inne branże powoli akceptują jego obecność, gdyż może się okazać krytyczna w zmieniającym się globalnie środowisku ryzyka. Z CRO czy bez niego następuje również wzrost znaczenia komitetów ds. ryzyka w celu zapewnienia bardziej zintegrowanego i systematycznego podejścia do ryzyka w całej organizacji. W przypadku dużej organizacji utworzenie stanowiska odpowiedzialnego za koordynację działań w zakresie zarządzania ryzykiem na pewno będzie z korzyścią dla firmy, aczkolwiek wiele zależy od kultury organizacyjnej samej firmy oraz właściwego umocowania. Należy pamiętać, że zarządzanie ryzykiem na bazie całego przedsiębiorstwa nie powinno być traktowane jako podejście dla wybranych. Nie powinno się patrzeć na ERM w pierwszej kolejności przez pryzmat struktury, procedur, formularzy, formalnego procesu. Zaleca się, aby pierwszym krokiem była budowa świadomości ryzyka, a do tego nie zawsze trzeba zatrudniania risk managera czy opracowywania wielkiej księgi procedur. Bez zwiększonej świadomości i zrozumienia, czym jest zintegrowane spojrzenie na ryzyko i jakie wartości niesie, ERM będzie wyłącznie kolejnym odhaczeniem na liście do zrobienia w celu zaraportowania zgodności działania ze stosownymi regulacjami. Oczywiście, jedną z głównych przyczyn wzrostu rangi zarządzania ryzykiem oraz wypracowania nowego podejścia były skandale korporacyjne (Enron, Wordcom) i pojawiające się regulacje wymuszające na zarządzających lepszą kontrolę organizacji i wiarygodność przekazywanych informacji. Można tu wymienić amerykańską regulację Sarbanes-Oxley Act. Ta sytuacja i nacisk na lepszy nadzór czy ład korporacyjny (corporate governance) wpłynęły na renesans zarządzania ryzykiem. Zarządzanie ryzykiem jest częścią skutecznego ładu korporacyjnego, który stanowi zbiór zasad postępowania, całość działań oraz regulacji odnoszących się do szeroko rozumianego zarządzania organizacją. W tym zakresie powstaje wiele twardych czy miękkich regulacji, które mają na celu wymuszanie i promowanie właściwego zachowania i praktyk. Zagadnienia ładu korporacyjnego można odnaleźć w wielu przepisach prawna krajowego oraz w dyrektywach europejskich. W skali międzynarodowej pierwszą inicjatywą sformułowania podstawowych elementów systemu nadzoru korporacyjnego był dokument OECD Principles of Corporate Governance jego ostatnią wersję państwa członkowskie przyjęły w 2004 r. W Polsce regulacje ładu korporacyjnego Dobre praktyki w spółkach publicznych w 2005 zostały przyjęte przez Giełdę Papierów Wartościowych w Warszawie. Pomimo nacisku na ochronę akcjonariuszy mniejszościowych wskazują one również pośrednio lub bezpośrednio na kwestie zarządzania ryzykiem. Zarządzanie ryzykiem nie jest tylko dla dużych organizacji, ale dla nawet najmniejszego przedsiębiorcy. Zarówno duża korporacja, jak i mały przedsiębiorca boryka się z tym samym problemem w dzisiejszym zmieniającym się świecie czy mam wystarczające informacje do analizy, podjęcia właściwych decyzji oraz umiejętności kontrolowania i realizowania zadań. Duża korporacja powinna opracować i wdrożyć cały system wspomagający zarządzanie organizacją, obudowany procedurami oraz wieloma wysiłkami, aby właściwie funkcjonował. Małemu przedsiębiorcy może wystarczyć zaadaptowanie podstawowych elementów metodologii oraz zrozumienie podstaw jej działania. Do tej pory opracowano już wiele wytycznych reprezentujących najlepsze, rozpoznawalne na rynku, praktyki zarządzania ryzykiem, do których można zaliczyć: amerykańskie Enterprise Risk Management Integrated Framework COSO II 2004; brytyjskie RM Standard AIRMIC/ ALARM/ IRM 2002; australijsko-nowozelandzkie AS/NZS 4360:2004; południowoafrykańskie King II. Niektóre z nich zostały scharakteryzowane w skrócie w kolejnych częściach raportu. W odróżnieniu od powyższych dobrych praktyk o charakterze miękkim lub dobrowolnym, należy wspomnieć o twardych uregulowaniach występujących na finansowych rynkach, również europejskich: Bazylea II dla bankowości (Basel Committee on Banking Supervision International Convergence of Capital Measurement and Capital Standards; A Revised Framework) lub Solvency II dla ubezpieczeń. Od kilku lat trwa międzynarodowa debata, nabierająca ostatnio tempa i temperatury, na temat stworzenia standardu ISO dotyczącego reguł korporacyjnego zarządzania ryzykiem. Latem tego roku FERMA wydało w tej sprawie oświadczenie na temat stanowiska risk managerów praktyków, którzy są zdania, że stworzenie takiego sztywnego standardu przysporzy więcej szkód rozwojowi dyscypliny zarządzania ryzykiem niż pożytku oraz ujemnie odbije się na jakości risk managementu w przedsiębiorstwie. Tego samego zdania są autorzy artykułu i prawdopodobnie większość polskich risk managerów, członków POLRISK. Każde z prezentowanych podejść zarządzania ryzykiem obejmuje identyfikację ryzyka, jego ocenę, postępowanie oraz monitoring i raportowanie. Elementy te nie zmieniły się i stanowią trwałe filary procesu. Jednakże koncepcja ERM jest nakierowana na lepsze powiązanie działań w kontekście ryzyka z celami biznesowymi organizacji i eliminacje ograniczeń wynikających z tradycyjnego podejścia. ERM ma umożliwić spójność działań w zakresie zarządzania ryzykiem, zapewniać akcjonariuszy, że ich środki są właściwie rozporządzane i wspierać sukces organizacji. To wszystko łączy ERM z takimi zagadnieniami, jak audyt wewnętrzny czy zarządzanie ciągłością działalności. Koncepcje te przenikają się nawzajem lub się uzupełniają, ale ERM wydaje się spinać wszystkie elementy. Audyt wewnętrzny ma zagwarantować zarządowi, że wytyczone przez niego reguły gry są przestrzegane przez kierownictwo i wszystkich pracowników a w praktyce ma pokazać, gdzie i przez kogo nie są przestrzegane. Działania audytu weryfikują zatem skuteczność wdrożonych systemów kontroli i zapewniają ich obiektywną ocenę i prawidłowe działanie. Zarządzanie ryzykiem, pokazujące dynamicznie zmieniającą się mapę różnych rodzajów ryzyka firmy i jej otoczenia, oraz wnioski z niego płynące są właśnie takim ukierunkowaniem działań funkcji audytu wewnętrznego. Po przeprowadzonej analizie ryzyka, skwantyfikowaniu oraz wyłonieniu grupy rodzajów ryzyka

5 krytycznego, które mogą zagrozić ciągłości biznesu (przetrwaniu firmy), jednym z kolejnych kroków czy podejmowanych środków zaradczych jest próba zarządzania ciągłością działalności firmy w kontekście wcześniej zdiagnozowanych rodzajów ryzyka krytycznego. W tym sensie Business Continuity Management (BCM) jest jakby gałęzią odrębnych działań, wynikającą jednak bezpośrednio z mechanizmów zarządzania ryzykiem (i oczywiście wniosków z niego płynących). Wśród zwolenników i sympatyków BCM jest wielu takich, którzy twierdzą, że to zarządzanie ryzykiem jest elementem BCM, ale to już zapewne materia na osobny, bardzo długi artykuł. Co jeszcze przemawia za zintegrowanym zarządzaniem ryzykiem? Najczęściej próbuje się przekonywać kierownictwo wyższego szczebla do zarządzania ryzykiem, rysując obraz zgliszczy firmy po katastrofie, wizję utraconych miejsc pracy i rynków zbytu czy ciągnących się spraw sądowych. Na całe szczęście nie jest to konieczne, gdyż ERM ma przesłanie pozytywne, niosące dla firm korzyści w krótkim i długim horyzoncie czasowym, w wielu obszarach swojej aktywności. System ERM jest źródłem uporządkowanych i zwięzłych komunikatów biegnących z warstwy operacyjnej przedsiębiorstwa. Zapewnia odpowiedni monitoring głównych rodzajów ryzyka, na które firma została wystawiona, oraz stan i skuteczność działań kontrolujących ryzyko. W ten sposób pomaga zarządowi wykonywać obowiązki związane z nadzorem korporacyjnym. Mechanizm ERM gwarantuje skupienie uwagi na rodzajach ryzyka posiadających największy wpływ na wartość firmy i jej cele strategiczne. Efektywnie rozlokowuje kapitał i zasoby zarządzania ryzykiem do obszarów o wysokim ryzyku oraz przyjmuje najlepsze praktyki konsekwentnie we wszystkich jednostkach biznesowych. Ukazuje powiązania pomiędzy poszczególnymi rodzajami ryzyka dzięki czemu możliwe są bardziej wnikliwe analizy ekspozycji przedsiębiorstwa na ryzyka. ERM, właściwie wprowadzone i konsekwentnie wspierane przez zarząd, pozytywnie przeobraża kulturę zarządczą firmy. Wszyscy menedżerowie są zapracowani i mają mało czasu, dlatego zarządzanie ryzykiem musi być prowadzone systemowo. Zwarty system ERM zapewnia proste rozwiązania jedna formuła oceny ryzyka w całej organizacji. Nie można sobie pozwolić, żeby niektóre części firmy prowadziły zarządzanie ryzykiem, a inne nie, podobnie jak nie można sobie pozwolić, aby poszczególne części firmy oceniały ryzyko i zarządzały nim na różne sposoby i według różnych kryteriów. Sprawnie funkcjonujący system pozwala menedżerom nie dać się wyprzedzić przez rzeczywistość: skłania do przewidywania ryzyka, dostrzeżenia właściwego ryzyka we właściwym czasie, a później do skutecznemu zarządzania nim. Nieprzewidziane i niepożądane wydarzenia będą występować rzadziej, a ich skutki staną się mniej dotkliwe. To z kolei jest gwarancją, że mniej czasu będzie się w firmie poświęcać na gaszenie pożarów, natomiast wszelkie inicjatywy zmian z większym prawdopodobieństwem będą się kończyć sukcesem. Rzetelne informacje gromadzone i krytycznie analizowane podczas oceny ryzyka i wnioski wyciągane podczas decydowania o sposobie postępowania z ryzykiem przekładają się na solidną bazę dla ustalenia strategii, pozwalającą wykorzystać szanse biznesowe i uniknąć zagrożeń. Jednym z najczęstszych argumentów przeciw wprowadzeniu ERM jest stwierdzenie: przecież my już zarządzamy ryzykiem w dziale... I tutaj najczęściej są wymieniane działy: ubezpieczeń, finansów, audytu, zakupów... Zintegrowane zarządzanie ryzykiem pomaga ustrzec się najczęstszych błędów, charakterystycznych dla tak właśnie zarządzanych firm: podejścia fragmentarycznego w ramach komórek organizacyjnych, obszarów funkcjonalnych ocena istotności ryzyka odbywa się jedynie na poziomie oddziału lub działu; braku skoordynowania decyzji w skali całej firmy na postępowanie z ryzykiem przeznacza się zasoby firmy kapitał i czas menedżerów; pozostawiania ryzyka bez właścicieli osób bezpośrednio za nie odpowiedzialnych, ale też posiadających władzę menedżerską, pozwalającą nim realnie zarządzać; braku wspólnego języka analizy ryzyka w całej firmie i komunikacji pomiędzy funkcjami lub obszarami zarządzającymi ryzykiem; wąskiego rozumienia metod zarządzania ryzykiem, tj. najczęściej jako unikanie ryzyka lub jego ubezpieczanie. Jakie mogą być konkretne motywacje wdrożenia zintegrowanego zarządzania ryzykiem? Ciekawym zagadnieniem są źródła motywacji przedsiębiorstw lub branży do wprowadzenia ERM. Wspomniane badania FERMA, opublikowane około pół roku temu, pokazują, że głównymi zewnętrznymi czynnikami wymuszającymi na firmach wprowadzenie ERM są regulatorzy i wymagania prawne (67%) oraz historyczne zdarzenia katastroficzne (62%). Co ciekawe, w porównaniu z rokiem 2004 spada znaczenie wymogów czy woli udziałowców (spadek z 57% do 35%) lub kosztów ubezpieczenia (spadek z 51% do 33%). Na tym tle interesująco wypada przykład Grupy Raben, międzynarodowej grupy logistycznej z centralą w Polsce, której udziałowcami są członkowie holenderskiej rodziny Raben. W roku 2004, kiedy rozpoczęto wprowadzanie zarządzania ryzykiem w spółkach Raben, żadne przepisy naszego lokalnego czy unijnego prawa nie wymagały wprowadzenia ERM w spółkach nienotowanych na giełdzie więc to nie tzw. compliance było motorem napędowym. Przeciętny klient Grupy był mniej świadomy wagi zintegrowanego zarządzania ryzykiem niż sam operator logistyczny dopiero od kilku, a raczej kilkunastu miesięcy zaczyna się to powoli zmieniać. Tym samym trudno powiedzieć, żeby to rynek wymusił wprowadzenie zasad zintegrowanego zarządzania ryzykiem. Wydaje się, że elementem krytycznym było uzyskanie pewnej granicznej skali działalności i jej stopnia skomplikowania na poziomie zarówno operacyjnym, jak i strategicznym oraz zawrotne tempo dalszego wzrostu nie tylko organicznego, ale i bazującego na akwizycjach w kilku krajach europejskich. Firma była niejednorodna (patrz przejęcia innych spółek) i bardzo szybko się rozwijała na dość ruchliwych i trudnych rynkach, dlatego była idealnym kandydatem do dużej, niekontrolowanej katastrofy biznesowej. Decyzja o wprowadzeniu ERM w całej Grupie była podjęta przez zarząd i akcjonariuszy w sposób naturalny, bez nacisków z zewnątrz, gdyż po prostu wydawała się naturalnym etapem rozwoju przedsiębiorstwa. Polscy przedsiębiorcy stoją przed tymi samymi problemami co wiele międzynarodowych koncernów. Wszyscy już działamy na rynku europejskim, a wielu z nas współpracuje lub zamierza współpracować z dostawcami i odbiorcami na całym świecie. Ogarnięcie całego otoczenia jest coraz trudniejsze, a aktywne zarządzanie ryzykiem staje się niezbędnym czynnikiem do uzyskania przewagi konkurencyjnej na polskim i globalnym rynku. Koncepcja enterprise risk management daje nam możliwość osiągnięcia tej przewagi. co to jest erm? Termin zintegrowane zarządzanie ryzykiem ma wiele synonimów, używanych naprzemiennie. Mowa również o zarządzaniu ryzykiem gospodarczym, zarządzaniu ryzykiem biznesowym, holistycznym, kompleksowym zarządzaniu ryzykiem, czy też po angielsku: enterprise risk management, holistic risk management lub business risk management. Pewne środowiska risk managerów zdecydowały się na używanie wyłącznie jednego lub dwóch z tych terminów. POLRISK definiuje zintegrowane zarządzanie ryzykiem jako element proaktywnego zarządzania organizacją, obejmujący kulturę zarządczą, procesy i struktury, polegający na metodycznym podejściu do kwestii związanych z ryzykiem, w celu zwiększenia szans osiągnięcia korzyści i zmniejszenia ryzyka porażek.

6 ERM w praktyce polskiej Anna Słodczyk, risk manager, konsultant ds. zarządzania ryzykiem, ASA Piotr Mąkosa, ekspert z zakresu metodologii szacowania i zarządzania ryzykiem, PCC sp. z o. o. Elżbieta Pluska, dyrektor rozwoju biznesu, Atmoterm SA Marek Rosiński, pełnomocnik ds. badań i rozwoju, Atmoterm SA WPolsce zarządzanie ryzykiem kojarzy się przede wszystkim z branżą finansową z ubezpieczeniami, kredytami, ryzykiem walutowym czy inwestycjami giełdowymi. Menedżerowie firm innych branż często nie zdają sobie sprawy z faktu, że tak naprawdę cały czas prowadzą proces zarządzania ryzykiem w swoich firmach, tylko w sposób nieświadomy, a przez to niekompletny i niesystematyczny Doświadczenie zawodowe niewielkiej grupy menedżerów ryzyka z naszego kraju (z wyłączeniem osób pracujących w działach zarządzania ryzykiem banków i zakładów ubezpieczeń grupa liczna, ale skoncentrowana na branży finansowej) skłania autorów niniejszego artykułu, zaliczających się do ww. grupy, aby wyrazić kilka opinii bazujących wprost na własnej praktyce związanej z pracą w zakresie zarządzania ryzykiem. Nasuwa się nam wiele spostrzeżeń dotyczących niewłaściwego lub niepełnego zrozumienia pojęcia zarządzania ryzykiem i kojarzenia go z No właśnie, z czym? W Polsce zarządzanie ryzykiem kojarzy się przede wszystkim z branżą finansową, a ściślej z ubezpieczeniami, kredytami, ryzykiem walutowym czy inwestycjami giełdowymi. Zdarzają się menedżerowie firm innych branż, którzy słyszeli o pojęciu zarządzanie ryzykiem i nawet znają jego definicję i elementy całego procesu, ale tylko teoretycznie. Kojarzą to pojęcie zwykle z bezpieczeństwem. Często nie zdają sobie sprawy z faktu, że tak naprawdę cały czas prowadzą proces zarządzania ryzykiem w swoich firmach, tylko w sposób nieświadomy, a przez to niekompletny i niesystematyczny. Patrz ramka nr 1. Patrz ramka nr 2. Należy jednak zwrócić uwagę na fakt, że menedżerowie ryzyka z branży bankowej i ubezpieczeniowej w Polsce są często świetnymi fachowcami, z wiedzą z zakresu zarządzania ryzykiem dostosowaną do branży, w której pracują, i oni właśnie w większości przypadków stają się pionierami wprowadzenia zarządzania ryzykiem w wielu obszarach gospodarczych naszego kraju. Klasycznym przykładem tej sytuacji jest jedna z osób, autorów niniejszego artykułu, wywodząca się z branży ubezpieczeniowej, a obecnie pracująca głównie na rzecz firm produkcyjnych i usługowych z branż pozafinansowych. Taka zmiana branży wymaga jednak od menedżera ryzyka dużej interdyscyplinarności, doświadczenia zawodowego i elastyczności w zmianach metodologii stosowanej dotychczas dla branży finansowej. Są także menedżerowie ryzyka, którzy zarządzanie ryzykiem stosowali od zawsze, choć pracowali na zupełnie innych stanowiskach w firmach różnych branż. W związku z tym, że większość produktów dostępnych w Polsce ma swój początek w pracach konstrukcyjno- -laboratoryjnych, dobrze wdrożony i utrzymywany system zarządzania w laboratoriach uwzględnia elementy RAMKA 1 Fabryka w Polsce jest jednym z ogniw produkcji światowej firmy o znanej marce. Okazuje się, że zakład w Polsce jest jedynym, w którym wykonuje się konkretny element produkowanego towaru. Firma zagraniczna zgłosiła termin przeprowadzenia kontroli u polskiego producenta ważnego podzespołu, a w ramach planu kontroli ujęła procedury zarządzania ryzykiem. Wykonany telefon do menedżera ryzyka wiązał się z pytaniem, ile czasu zajmie napisanie procedury, czy będzie to jedna strona formatu A4, czy też kilka stron? Wnioski na temat świadomości polskiej firmy dotyczącej zarządzania ryzykiem pozostawiamy Czytelnikowi. A dlaczego zarządzanie ryzykiem jest w tym przypadku takie ważne? Jeżeli zostanie przerwana ciągłość działania polskiej firmy, która jest jedynym producentem konkretnego podzespołu, to automatycznie zostanie przerwana ciągłość produkcji w firmie światowej renomy, która nie może sobie na to pozwolić. A tak na marginesie, to ta światowa firma też chyba nie do końca dobrze zarządza ryzykiem, jeżeli nie ma alternatywy w postaci innej firmy. A może to tylko socjotechnika w kontaktach z polską firmą? FOTO: Getty Images/FPM

7 analizy ryzyka związanej z działalnością laboratoriów. Choć zwykle menedżerowie kierujący laboratoriami nie nazywają tych działań w taki właśnie sposób, to wprowadzili oni, często nieświadomie, elementy zarządzania ryzykiem i techniki analizy ryzyka. Patrz ramka nr 3. A jak postrzegane jest pojęcie zarządzania ryzykiem w Polsce na tle badań międzynarodowych? W roku 2006 federacja FERMA (Federation of European Risk Management Associations) przeprowadziła wszechstronne badanie praktyk zarządzania ryzykiem w Europie, zestawiając jego wyniki z wcześniejszymi danymi z roku W badaniu wzięło udział 460 firm, głównie z Europy Zachodniej, których przedstawiciele odpowiadali na 29 pytań. Wśród badanych obszarów znalazła się m.in. hierarchia ważności poszczególnych rodzajów ryzyka. Respondenci wskazywali na ryzyko operacyjne, handlowe i prawne jako najważniejsze w bieżącej działalności. Natomiast w prognozie na następne lata daje się zaobserwować wyraźny wzrost istotności takich obszarów ryzyka, jak zasoby ludzkie i ochrona środowiska. W zakresie praktyki zarządzania ryzykiem wykazywane jest stopniowe przechodzenie od organizacji procesu zarządzania ryzykiem i identyfikacji ryzyka (u ponad połowy respondentów zadania już zrealizowane) do tworzenia systemów wewnętrznego raportowania, audytu i zarządzania danymi. Badania firmy Marsh, przeprowadzone również w roku 2006, dotyczyły 12 krajów Europy Środkowo-Wschodniej. Analizy dokonano na podstawie informacji uzyskanych od ponad tysiąca menedżerów, głównie z sektora produkcyjnego oraz handlu hurtowego i detalicznego. Dane uzyskane od respondentów wykazały, że główne obszary ryzyka to: rosnąca konkurencja, nieterminowe płatności, zmiany popytu i cen towarów oraz zmniejszona wydajność związana z absencją i fluktuacją pracowników. Jednocześnie stosunkowo niski procent respondentów (26 50%) deklaruje stosowanie skutecznych procedur ograniczania tych elementów ryzyka. Firmy, które skutecznie zarządzają ryzykiem, mają szanse na uzyskanie przewagi konkurencyjnej. Jednak w wielu RAMKA 3 RAMKA 2 W badanej spółce stwierdzono następujący stan: brak jest wiedzy na temat zmieniającego się unijnego i krajowego prawa ochrony oraz związanych z tym zagrożeń; nie zarządza się ryzykiem środowiskowym w firmie nie ma procedur wewnętrznych; przedsiębiorstwach nadal nie ma formalnego rejestru ryzyka oraz wdrożonych metod ich identyfikacji i oceny, a także innych elementów tzw. klasycznego zarządzania ryzykiem. Podane wyżej informacje, dotyczące wyników badań firmy Marsh, wykazują, że opisane na początku niniejszego artykułu doświadczenia menedżerów ryzyka są zgodne z wynikami badań. W Polsce brakuje systematycznego podejścia do problemów zarządzania ryzykiem, a przez to świadomi menedżerowie firm robią coś, co należałoby uporządkować i dostosować do znanych w świecie metodologii. Nasuwa się kolejne pytanie: dlaczego właśnie teraz zaczynamy się nad tym zastanawiać? Już trzeci rok jesteśmy w Unii Europejskiej, a to wymaga od nas dostosowania się do dyrektyw Unii Europejskiej i standardów w niej obowiązujących, które zostały zaimplementowane w postaci ustaw lub rozporządzeń do prawa polskiego. Przykładem takich aktów prawnych jest Ustawa o ochronie danych osobowych czy Kodeks pracy. W obydwu dokumentach wymagane jest od firmy przeprowadzenie analizy ryzyka w przedmiotowej sprawie. Po przeprowadzeniu tejże analizy często Laboratorium badawcze branży spożywczej przeprowadza analizy artykułów spożywczych w celu dopuszczenia ich do obrotu na rynku. Prowadzi badania dla producenta jogurtu. Produktem laboratorium jest sprawozdanie z badań zawierające wyniki analiz i badań, na których podstawie producent jogurtu wprowadzi towar na rynek. Jakikolwiek wynik badań niezgodny z wymaganiami stawianymi producentowi daje laboratorium sygnał do wdrożenia działań zgodnie z procedurami dotyczącymi wyrobu niezgodnego. Procedury muszą zawierać tryb postępowania w takim przypadku, zidentyfikowane zagrożenia oraz hipotetycznie wielkość skutków zagrożeń, jakie może spowodować nieprawidłowy wynik badań i analiz przekazanych do producenta. Laboratorium stwierdza, że jego działania są prawidłowe, a wyniki badań jak najbardziej zgodne z założoną specyfikacją i metodami badawczymi. Sprawozdanie zostaje przekazane producentowi jogurtu. Producent jest zaskoczony, ponieważ okazuje się, że ma wdrożony system HACCP, którego integralną częścią jest analiza ryzyka metodą HAZOP. Producent na podstawie sprawozdania z badań laboratorium przeprowadza proces analizy ryzyka, zaczynając od technik identyfikacji ryzyka, zadając sobie pytanie, jak to się mogło stać. Kto miał rację i kto zapłaci za błąd laboratorium czy producent? nie ma osoby odpowiedzialnej za identyfikację ryzyka o wszystkim kierownictwo dowiaduje się ze źródeł zewnętrznych; występuje niebezpieczeństwo ponoszenia niepotrzebnych dodatkowych kosztów związanych z ochroną środowiska. okazuje się, że wymuszona przez przepisy prawa analiza ryzyka uratowała firmę przed dużymi problemami, z których nie zdawałaby sobie sprawy. Patrz ramka nr 4. Proces zarządzania ryzykiem jest także standardem w zagranicznych firmach, niezależnie tego, czy wymagają tego przepisy prawa czy też tylko zagraniczni kontrahenci, w celu wypełnienia każdego swojego ogniwa biznesowego procedurami gwarantującymi nieprzerwanie ciągłości działania firmy. Nowe standardy zarządzania w firmach, ich wprowadzanie i certyfikacja nie zawsze przytaczają wprost wymóg dotyczący RAMKA 4 Firma w wyniku szkolenia uzyskuje informacje o wymogu prawnym dotyczącym wprowadzenia procedur zarządzania ryzykiem związanym z ochroną danych osobowych. Kompleksowa analiza ryzyka wskazuje na szereg nieprawidłowości w zabezpieczeniu dostępu do pomieszczeń firmy z danymi osobowymi. Nieprawidłowości zostają przekazane pisemnie zarządowi firmy, ze wskazaniem na konieczność realizacji zadań priorytetowych, czyli postępowania z ryzykiem nieakceptowanym. Zarząd odkłada procedury ochrony danych osobowych na półkę i cieszy się z wywiązania się z obowiązujących przepisów prawa (wprowadzenie wymaganych dokumentów w firmie i przeszkolenie pracowników). Po kilku miesiącach w miejscu wskazanym w analizie ryzyka jako zadanie priorytetowe następuje włamanie w sposób dokładnie wskazany przez menedżera ryzyka w dokumencie poufnym dostarczonym do rąk własnych członka zarządu. Wynikiem włamania jest kradzież komputerów. W tym momencie zarząd powraca do przedstawionej analizy ryzyka i konsekwentnie realizuje wszystkie zalecenia związane z postępowaniem z ryzykiem. Cóż można powiedzieć na zakończenie? Mądry Polak po szkodzie! A można było nie myśleć tylko o samej Ustawie i jej aktach wykonawczych, tylko opierając się na analizie ryzyka, pomyśleć kompleksowo o firmie.

8 RAMKA 7 Zakład produkcji sprzętu medycznego produkujący strzykawki kupuje materiał u podwykonawcy. Nigdy nie przeprowadził audytu u poddostawcy. Rocznie wprowadza kilkaset tysięcy strzykawek do szpitali. Po kilku incydentach medycznych w szpitalu A, szpital zlecił badania bakteriologiczne rzeczonych strzykawek. Okazało się, że końcówki silikonowe tłoków strzykawek zawierają bakterie salmonelli. Po inspekcji u producenta okazało się, że ma on przeprowadzoną prawidłowo analizę ryzyka produkowanego wyrobu pod kątem technicznym, jednak inspektor zwrócił uwagę na fakt, że brakuje w niej elementów związanych z zagrożeniem biologicznym. Producent nie zwracał uwagi na zagrożenia biologiczne, ale na zagrożenia konstrukcyjne. W efekcie zostało zarażonych kilkadziesiąt osób, a partia kilkudziesięciu strzykawek wycofana z magazynów szpitali oraz producenta. Jak zwykle powstaje pytanie: czy bardziej opłacało się przeprowadzić badania półproduktów od poddostawcy, czy zapłacić odszkodowanie osobom poszkodowanym oraz wycofać feralny silikon z produkcji? Odpowiedź zostawmy producentowi po skalkulowaniu poniesionych kosztów. wprowadzenia procedur zarządzania ryzykiem czy analizy ryzyka. Jednakże zawsze wprowadzają szereg sformułowań nomenklaturowych (np. walidacja), które stają się niejako namiastką obszaru zarządzania ryzykiem. Przykładem jasnego i konkretnego wprowadzenia wymogu analizy ryzyka jest system zarządzania bezpieczeństwem informacji, zgodnie z normą ISO/IEC Patrz ramka nr 1 ponowne odwołanie. Patrz ramka nr 3 ponowne odwołanie. Zwróćmy uwagę na finalny efekt powołanego wcześniej raportu FERMA, wg którego w prognozie na następne lata daje się zaobserwować wyraźny wzrost istotności takich obszarów ryzyka, jak zasoby ludzkie i ochrona środowiska. Przedsiębiorstwa powinny na bieżąco monitorować pojawiające się nowe wymagania dotyczące ochrony środowiska oraz pilnować terminów realizacji obowiązków zapisanych w prawie. Doświadczenia i obserwacje wskazują jednak na częste zaniedbania w identyfikacji tego rodzaju ryzyka. Raport Marsha dotyczący odpowiedzialności z tytułu zanieczyszczeń środowiska bardzo trafnie oddaje stan świadomości polskich i środkowoeuropejskich przedsiębiorstw w tym zakresie. Rekomendowane działania wskazują na potrzebę stosowania systemowych rozwiązań w obszarze ryzyka środowiskowego. RAMKA 6 Patrz ramka nr 5. Wracając do dyrektyw Unii Europejskiej, prawie wszystkie dyrektywy tzw. nowego podejścia znalazły odzwierciedlenie w polskim prawie. Fakt ten spowodował, że producenci działający w obszarze nowego prawa stanęli przed widmem spełnienia nowych wymagań dotyczących produkcji i zarządzania, zawartych w odpowiednich aktach prawnych w Polsce. Do takich spektakularnych dyrektyw należy Dyrektywa Medyczna czy Dyrektywa Maszynowa. Ze względu na specyfikę wymagań odnośnie przedmiotów będących podmiotem ich zakresu, obie dyrektywy przywołują analizę ryzyka, będącą, jak wiemy, podstawową częścią składową szeroko pojętego zarządzania ryzykiem. Rzeczone dyrektywy wręcz precyzują odpowiednie standardy zawierające techniki i metody analizy ryzyka, którymi producent powinien się posługiwać. Patrz ramka nr 6. Patrz ramka nr 7. Na zakończenie należałoby zadać pytania: Co powstrzymuje polskie firmy przed stosowaniem procedur zarządzania ryzykiem? Na jakie bariery napotykają? Według aktywnie pracujących i promujących jednocześnie zarządzanie ryzykiem menedżerów powody są następujące: bariery merytoryczne (brak specjalistycznej wiedzy o ryzyku i zarządzaniu ryzykiem w firmach); bariery związane z mentalnością (np. problem współpracy z menedżerem ryzyka i wskazanie na problemy firmy, bo być może spowoduje to wyrzucenie z pracy osoby, która wskazała problem); bariery finansowe, gdyż: kadra menedżerska ze specjalizacją z zarządzania ryzykiem powinna być dobrze opłacana i niezależna, bo tylko wtedy jest obiektywna, często duże koszty niesie ze sobą proces postępowania z ryzykiem, zła decyzja kierownictwa firmy dotycząca akceptacji ryzyka może pociągnąć za sobą duże konsekwencje finansowe dla firmy, inne; brak dostatecznej znajomości nomenklatury związanej z tym obszarem w języku angielskim i jednocześnie brak tłumaczeń literatury fachowej; Producent działający w obszarze Dyrektywy Maszynowej powinien przed wprowadzeniem wyrobu do obrotu przeprowadzić analizę ryzyka związanego z zagrożeniami niesionymi przez eksploatacje takiego urządzenia (maszyny). Producent produkuje kosiarki spalinowe. Przed wprowadzeniem wyrobu przeprowadza badania typu w odpowiedniej jednostce notyfikowanej w tym zakresie. Okazuje się, że pomimo zastosowanych osłon dla operatora producent nie przewidział incydentu związanego ze złą jakością noży tnących, które po kilkugodzinnej eksploatacji ulegały pęknięciu i rozerwaniu, narażając operatora i niszcząc kosiarkę. Potencjalne straty finansowe związane z ww. incydentem dotyczą nie tylko zmiany noży tnących, ale również wypłaty odszkodowania osobom poszkodowanym. Powstaje pytanie: co bardziej się opłaca? Odpowiedż pozostawiamy producentowi po przeprowadzeniu rzetelnej analizy ryzyka. RAMKA 5 Według Ustawy o zapobieganiu i naprawie szkód w środowisku, która weszła w życie z dniem 30 kwietnia 2007 r., do działalności stwarzającej ryzyko szkody w środowisku zalicza się m.in. eksploatację instalacji wymagającej pozwolenia zintegrowanego (IPPC Integrated Pollution Prevention and Control). Ustawa przewiduje, że w pozwoleniu zintegrowanym będzie mogło być ustanowione zabezpieczenie roszczeń z tytułu wystąpienia szkód w środowisku. Ustawa ta nie będzie działała wstecz, ale inspekcje związane ze zintegrowanymi pozwoleniami mogą wykryć zanieczyszczenia i przedsiębiorstwo zmuszone zostanie do podjęcia stosownych działań. Według ustawy Prawo ochrony środowiska, w dniu 30 kwietnia 2007 r. minął ostatni już późniejszy termin do uzyskania pozwolenia zintegrowanego i dotyczy to niektórych instalacji w hutnictwie i przemyśle metalurgicznym (których użytkowanie rozpoczęto przed r.), w przemyśle mineralnym (piece koksownicze) i w gospodarce odpadami. Dla instalacji IPPC bez wymaganego pozwolenia zintegrowanego lub eksploatowanej z naruszeniem warunków pozwolenia zintegrowanego przez okres przekraczający 6 miesięcy grozi wstrzymanie jej użytkowania. Jedynie dla instalacji, których użytkowanie rozpoczęto do 30 października 2000 r., prowadzący instalację może wnioskować o ustalenie terminu usunięcia naruszenia, ale termin usunięcia naruszenia nie może upływać później niż 30 października 2007 r. nie ma szkół, szkoleń z zakresu zarządzania ryzykiem, brakuje specjalistycznych przedmiotów na studiach z zakresu zarządzania w tym obszarze; niewielka liczba szkoleniowców; zbyt małe nagłośnienie medialne tematyki zarządzania ryzykiem w czasopismach specjalistycznych dla menedżerów i w innych środkach przekazu; stosowanie przez firmy zasady mądry Polak po szkodzie, czyli wprowadzenie procedur dopiero po ocenie skutków już zrealizowanego ryzyka. Patrz ramka nr 4 ponowne odwołanie. Czy więc mamy szansę coś zmienić w Polsce w przedmiotowym zakresie? Oczywiście, że tak, bo: medialnie zarządzanie ryzykiem zaczęło się często pojawiać na różnych konferencjach branżowych dla menedżerów; istnieje możliwość wykorzystania środków Unii Europejskiej na szkolenia i na wprowadzanie procedur zarządzania ryzykiem w firmach; następuje widoczny wzrost zainteresowania problemem zarządzania ryzykiem wśród firm szkoleniowych oraz wśród firm wdrażających systemy zarządzania; właściciele firm coraz częściej cedują decyzje i funkcje kierownicze na osoby młode, dobrze wykształcone, kreatywne i szukające nowych technologii, które zwykle znają języki obce zapewniające dostęp do literatury i szkoleń zagranicznych. 10

9 dr inż. Wojciech Machowiak, kierownik Działu Badań i Współpracy, Wyższa Szkoła Logistyki dr inż. Iwona Staniec, prodziekan ds. dydaktyki, Politechnika Łódzka Nie ma jednego sposobu zarządzania ryzykiem FOTO: Getty Images/FPM Istotnym czynnikiem w rozważaniach dotyczących przyszłości zarządzania ryzykiem jest kierunek, w jakim rozwiną się strategie zarządzania. Nieuniknione wydaje się, że zarządzanie ryzykiem już niedługo również będzie musiało podjąć wyzwania związane z zarządzaniem łańcuchami dostaw, a menedżerowie ryzyka w przedsiębiorstwach przyszłości w swoich kompetencjach i schematach działania będą zmuszeni uwzględnić zarówno zwiększoną, wychodzącą daleko poza przedsiębiorstwo skalę działalności, jak i nowe, nieznane dotąd kategorie ryzyka. Jeden z najbardziej znanych i najczęściej cytowanych przykładów negatywnego zrealizowania się ryzyka zwany przypadkiem Nokia- -Ericsson, od nazw firm, których dotyczył, lub przypadkiem Albuquerque, od nazwy miasta w USA, gdzie ta historia miała swój początek pokazuje możliwe scenariusze rozwoju sytuacji w zależności od tego, jak firma jest przygotowana do nieprzewidzianego wydarzenia. W przedsiębiorstwie mającym wdrożone prawidłowe i konsekwentnie realizowane procedury zarządzania ryzykiem (w tym przypadku Nokia) błyskawicznie opanowano sytuację i w ostatecznym rozrachunku firma wygrała na kryzysie, zwiększając swój udział w rynku. Ericsson, znajdując się w identycznej sytuacji jak Nokia, ale działając nieumiejętnie i chaotycznie, wypadł z rynku, ponosząc olbrzymie straty. Na marginesie warto wspomnieć, że epilog dopisany do tej historii przez dalsze wydarzenia jest optymistyczny. Ericsson, któremu po wypłacie odszkodowania (200 mln USD) firmy ubezpieczeniowe odmawiały przez kilka lat polisy, wypracował i wdrożył całkowicie nowe zasady zarządzania ryzykiem, obecnie uznane przez tych samych ubezpieczycieli za wzorcowe i stawiane jako przykład dla innych przedsiębiorstw. W znakomitej książce Yossi Sheffi The Resilient Enterprise: Overcoming Vulnerability for Competitive Advantage ¹, w której między innymi opisany jest powyższy przypadek, hasło zarządzanie ryzykiem nie pada ani razu, na próżno szukać go także w indeksie. A jednak cała publikacja w sposób ewidentny poświęcona jest problemom związanym z zarządzaniem ryzykiem i powinna stanowić lekturę obowiązkową nie tylko dla menedżerów ryzyka, ale także (a może przede wszystkim) dla kadry zarządzającej przedsiębiorstwami. Sytuacja ta doskonale odzwierciedla problem, z jakim często mamy do czynienia przy próbie głębszego zainteresowania się zagadnieniami zarządzania ryzykiem w działalności gospodarczej. Firmy podejmują określone działania zmierzające do ograniczenia zagrożeń, niekoniecznie nazywając je zarządzaniem ryzykiem, lub też realizują procedury, którym w literaturze bądź w ofertach firm konsultingowych często przypisuje się zupełnie inną nazwę. Z kolei tam, gdzie explicite mówimy o zarządzaniu ryzykiem, pojęcie to w różnych przypadkach nierzadko oznacza całkiem odmienne praktyki zarówno w sferze strategii, jak i bieżących procedur. Już samo pojęcie zarządzania ryzykiem przysparza wielu kłopotów i różni się niekiedy dosyć istotnie w zależności od autora i reprezentowanej przez niego szkoły, ale również w zależności od sposobu postrzegania miejsca tej problematyki w strategii i organizacji przedsiębiorstwa. W najprostszym bardzo uproszczonym, ale ciągle popularnym ujęciu utożsamiane jest z ubezpieczeniami. Nie jest to całkowicie bezzasadne, biorąc pod uwagę, że ubezpieczenia są dla wielu firm do dzisiaj jedyną praktycznie stosowaną techniką radzenia sobie z różnorakimi zagrożeniami. Takie podejście utrwalane jest przez same firmy ubezpieczeniowe, które nieustannie rozszerzają swoje oferty, obejmując nimi zdarzenia i ryzyko dotychczas uważane za klasycznie nieubezpieczalne. Nawet na rynku polskim można już ubezpieczyć się od ryzyka spadku zysku w wyniku niekorzystnych warunków pogodowych (przykład: przedsiębiorstwa dostarczające energię cieplną na wypadek zbyt wysokich temperatur w sezonie grzewczym tzw. derywaty pogodowe). Dla innych zarządzanie ryzykiem to przede 11

10 STUDIUM PRZYPADKU: Nokia-Ericsson Wieczorem 17 marca 2000 wskutek uderzenia pioruna w sieć energetyczną doszło do pożaru w niewielkim pomieszczeniu fabryki półprzewodnikowych podzespołów elektronicznych w Albuquerque, należącej do Philips Electronics N.V. Przedsiębiorstwo to było wówczas głównym dostawcą chipów do telefonów komórkowych dla czołowych producentów europejskich, w tym Ericssona (jedynym!) oraz Nokii. Pożar nie był zbyt poważny, ugaszono go w 10 minut własnymi siłami, szkody bezpośrednie były również niewielkie (spłonęło osiem pojemników zawierających łącznie kilka tysięcy płytek). Nieco później okazało się, że znacznie poważniejsze straty spowodowały w sąsiednich pomieszczeniach dym i woda ze spryskiwaczy zatruły znajdujące się tam miliony elementów. Uszkodzeniu uległa również część urządzeń produkcyjnych. Produkcja została wznowiona po ok. 3 tygodniach, jednak jeszcze po 6 miesiącach osiągała zaledwie niecałe 50% poziomu sprzed pożaru odtworzenie pełnych mocy miało zająć lata. Logistycy Nokii nie tylko zauważyli i właściwie ocenili problem, zanim jeszcze zgłosił go dostawca (a to dzięki aktywnemu, bieżącemu monitorowaniu dostaw) już 20 marca wiedziano o pożarze. Nie do końca polegając na informacji pozyskanej od Philipsa, natychmiast podjęto decyzję o wysłaniu do Albuquerque swoich inżynierów w celu wypracowania własnej oceny stanu rzeczy. Na miejscu nie przyjęto ich z otwartymi ramionami, ale wizyta wystarczyła, żeby docenić powagę sytuacji i zorientować się, że problem ma perspektywę wielu miesięcy, a nie tygodnia czy dwóch. Niezwłocznie podjęto działania. Po pierwsze, zintensyfikowano monitoring dostaw w miejsce tygodniowych analiz wprowadzono codzienne. Po drugie, na najwyższym szczeblu zarządzania podjęto naciski na Philipsa, zmierzające do zapewnienia sobie absolutnego priorytetu w dostawach z Albuquerque, wspartego zapewnieniem o oddaniu na rzecz produkcji dla Nokii wszelkich rezerw produkcyjnych we wszystkich innych zakładach Philipsa. Po trzecie, wysłano przedstawicieli do innych dostawców Nokii w USA i Japonii (Nokia unikała zasady single sourcing ), aby skłonić ich do możliwie najszybszego zwiększenia produkcji i również tam zapewnić priorytety dla swoich potrzeb. Wreszcie po czwarte, podjęto prace konstrukcyjne mające umożliwić zastosowanie w telefonach Nokii nieco odmiennych chipów z innych źródeł. Ericsson znacznie łagodniej kontrolował dostawy, o wypadku dowiedział się poprzez spóźnioną i uspokajającą informację producenta (przewidującą zakłócenia w produkcji przez ok. tygodnia, co nie powinno spowodować większych problemów). Nie sprawdzając i nie analizując tej informacji, nie podjął praktycznie żadnych działań aż do początku kwietnia. Wtedy już wszystkie rezerwy dostępne na światowym rynku producentów podzespołów elektronicznych były zagospodarowane przez bardziej operatywnego konkurenta. wszystkim zespół działań na rzecz zmniejszenia skutków realizacji ryzyka. Definicja ta również pozostawia niedosyt ze względu na wyeksponowanie akcji zmierzających do przeciwdziałania skutkom ryzyka, przy niedocenieniu najbardziej efektywnych i najmniej dotkliwych działań prewencyjnych. Przykładem zaawansowanych, chociaż też nie do końca precyzyjnych, prób określenia, czym jest zarządzanie ryzykiem, może być definicja zawarta w standardzie zarządzania ryzykiem FERMA. Wg niej zarządzanie ryzykiem jest to proces, w którego ramach organizacja w sposób metodyczny rozwiązuje problemy wynikające z ryzyka, które towarzyszy jej działalności, w taki sposób, aby ta działalność zarówno w poszczególnych dziedzinach, jak i traktowana jako całość przynosiła trwałe korzyści. Jeżeli występują tak duże trudności ze zdefiniowaniem zarządzania ryzykiem, trudno się dziwić, że dotychczas nie wypracowano jeszcze jednej metodyki podejścia do tych zagadnień spójnej, konsekwentnej oraz powszechnie aprobowanej. Liczba koncepcji ujęcia tematu proponowanych w literaturze przedmiotu jest imponująca, jednak niemal każda z nich traktuje problem w sposób indywidualny, wyalienowany, oderwany od innych. W efekcie mamy (oprócz bogatego dorobku tradycji finansowo- -ubezpieczeniowej) wiele pomysłów na elementy strategii takie jak: enterprise risk management, business continuity management, business continuity planning, obok nich jeszcze nowsze, np.: koncepcje resilient enterprise, agile supply chain, triple a supply chain oraz szereg innych z których trudno jest wyłowić konkretne, aplikowalne narzędzie. Znaczny wpływ na współczesne postrzeganie zarządzania ryzykiem wywierają również radykalne zmiany w warunkach prowadzenia działalności gospodarczej, z jakimi mają do czynienia w ostatnich latach przedsiębiorstwa niezależnie od miejsca na kuli ziemskiej, w którym prowadzą tę działalność. Co jest bowiem istotne, zmiany te w znaczącym stopniu wiążą się z podwyższeniem poziomu różnych zagrożeń, a także z jakościowymi zmianami w charakterze ryzyka, z jakim muszą dawać sobie radę zarządy firm. Do zmian wpływających na warunki procesów gospodarczych należą m.in.: zauważalny wzrost zagrożeń zewnętrznych, zarówno naturalnych, jak i wywołanych przez ludzi, skutki globalizacji oraz nowe koncepcje w strategiach działania przedsiębiorstw. Firmy stające wobec nowych wyzwań nie są w stanie im sprostać, dysponując wyłącznie tradycyjnymi, finansowo-ubezpieczeniowymi instrumentami. Nowe kategorie ryzyka wymagają zmiany podejścia, zmiany w zakresie wiedzy i umiejętności kadry wysokiego i średniego szczebla, ale przede wszystkim potraktowania (zintegrowanego) zarządzania ryzykiem jako elementu strategii przedsiębiorstwa, za którą musi pójść przesunięcie kompetencyj- ryzyko spekukulatywne i czyste W przedsiębiorstwie ryzyko może być związane zarówno ze stratą, jak i korzyścią (w literaturze jest ono określane jako ryzyko spekulatywne). Zarządzanie nim polega na podejmowaniu realnych działań i przeciwdziałaniu przyczynom, które są poza kontrolą przedsiębiorstwa oraz znajdujących się w jego gestii. Natomiast w świecie ubezpieczeń ryzyko oznacza jedynie prawdopodobieństwo wystąpienia straty (tzw. ryzyko czyste). Zarządzanie ryzykiem czystym polega na wykupywaniu polis ubezpieczeniowych. 12

11 ne zarządzanie ryzykiem z domeny pionów finansowych powinno stać się przedmiotem bezpośredniego zainteresowania zarządów przedsiębiorstw. Niestety, zarządzanie ryzykiem nie jest wprost ujmowane w ramach różnych ideologii zarządzania, standardów i regulacji prawnych. Oto obszary z uregulowanym stanem prawnym odnośnie zarządzania ryzykiem: finansowy Bazylea II, Nowa Umowa Kapitałowa; ubezpieczeniowy Solvency II; medyczny BRC/IFS, spożywczy HACCP ISO 22000, BRC/IOP. Przykładowe dobrowolne uregulowania: COSO II funkcjonuje w obszarze ładu organizacyjnego; Sarbanes-Oxley Act 2002 w ramach regulacji dla spółek giełdowych notowanych w USA; standard ISO dla zarządzania bezpieczeństwem informacji; AS/NZS 4360 australijsko-nowozelandzki standard zarządzania ryzykiem; BS zarządzanie ryzykiem bezpieczeństwa informacji; corporate governance kodeks Dobre praktyki spółek notowanych na GPW. Wymienione standardy i dobre praktyki mimo różnych źródeł powstania i celów łączy jedno badanie i zarządzanie ryzykiem. Pojawiające się lub stosowane na świecie praktyki w zakresie zarządzania ryzykiem nie narzucają konkretnych (jednych właściwych) sposobów wdrożenia. Natomiast dostarczają wskazówek do zorganizowania niezbędnych mechanizmów, przy zachowaniu właściwej i sprawdzonej koncepcji. Każdy standard nie wymusza konkretnego sposobu, pozostawia elastyczność we wprowadzaniu w życie organizacji procesu zarządzania ryzykiem. Podkreśla, że proces ten zależy od organizacji i zakresu jej działalności i jest procesem ciągłym, osadzonym w istniejących procesach biznesowych Standardy zwracają uwagę, że wdrażając system zarządzania ryzykiem w organizacji, należy zadbać o odpowiednie metody zbierania informacji oraz mechanizmy reakcji na zagrożenia. Kluczem do sukcesu jest zintegrowane podejście do zarządzania ryzykiem oraz: opracowanie i wdrożenie skutecznego mechanizmu umożliwiającego na bieżąco kadrze kierowniczej ocenę ryzyka i dostarczające informacje do podejmowania decyzji; ukształtowanie świadomości co do wagi zarządzania ryzykiem oraz korzyści z tego płynących; integracja zarządzania ryzykiem z istniejącymi w organizacji procesami; ocena przyjętej strategii zarządzania organizacją w kontekście przygotowania jej na przyszłe zdarzenia biznesowe; dostarczanie dokładnych danych analitycznych (ze wszystkich poziomów organizacji). porównanie podejść do zarządzania ryzykiem w poszczególnych standardach Risk Managment Standard (AIRMIC, IRM&ALARM, 2002) Australian Standard for Risk Management (Standards Australia, 2004)-AS/NZS 4360: stron + dodatek z terminologią 30 stron +109 stron wytycznych Standard definiujący model badania i zarządzania ryzykiem z wykorzystaniem terminologii ISO. Odnosi się do wszystkich rodzajów ryzyka związanych z działaniem organizacji. Ryzyko Ma aspekt zagrożenia i aspekt szansy, i to zarówno dla samego podmiotu, jak i dla jego partnerów. Jest określone jako kombinacja prawdopodobieństwa zdarzenia i jego skutków. Ujemnych i dodatnich na polu bezpieczeństwa bierze się pod uwagę jedynie szkody. Zarządzanie ryzykiem Proces, który organizacji służy do zajęcia się rodzajami ryzyka związanymi z jej działaniami w celu osiągnięcia nieprzerwanych korzyści w ramach każdego z tych działań oraz w całym kompleksie portfela działań. Jest częścią kultury całej organizacji i elementem odpowiedzialności każdego pracownika. Etapy procesu zarządzania ryzykiem Analiza (począwszy od utożsamienia i opisu ryzyka), ocena ryzyka, akceptowalność ryzyka, raportowanie wewnętrzne i komunikacja, raportowanie zewnętrzne. Metody identyfikacji ryzyka zaczynają się od burzy mózgów. Uwagi Środki wymagane do wdrażania polityki zarządzania ryzykiem w organizacji powinny być jednoznacznie ustalone na każdym szczeblu zarządzania w każdej komórce biznesowej. Standard definiujący proces zarządzania ryzykiem niezależnie od wielkości i branży organizacji. Ujemna i dodatnia strona ryzyka ze wskazaniem na potencjalne zyski i straty. Proces niezależny od branży i sektora działalności przedsiębiorstwa. Wskazanie kolejnych kroków zarządzania ryzykiem. Identyfikacja, analiza ryzyka, ocena ryzyka, akceptowalność ryzyka, postępowanie z ryzykiem, komunikowanie i konsultacje. Łatwy do wdrożenia, w szczególności dla firm nowo powstałych. Enterprise Risk Management Integrated Framework COSO II 125 stron + 7-stronicowe streszczenie dla kierownictwa + uzupełnienie technik zastosowania Standard definiujący zarządzanie ryzykiem z wykorzystaniem mechanizmu kontroli wewnętrznej. Określa własną terminologię. Definiuje proces i jego etapy w odniesieniu do charakterystycznego postrzegania funkcjonowania organizacji. Rozpoznaje dodatnie i ujemne strony ryzyka. Zwraca uwagę na niepewność i okazje przyciągające ryzyko. Proces oparty na pojęciach ryzyka biznesowego, kreowaniu wartości i kontroli wewnętrznej. Wskazanie komponentów zarządzania ryzykiem w postaci sześciennej kostki odnoszącej cele organizacji do rodzajów ryzyka występujących przy wykonywaniu procesów biznesowych. Ustalenie celów, identyfikacja zagrożeń, ocena ryzyka, reakcja na ryzyko, działania kontrolne, informowanie i komunikowanie oraz monitorowanie. Ma zachwianą równowagę na rzecz struktury biznesowej, po macoszemu traktuje analizę ryzyka. Źródło: Opracowanie własne autorów na podstawie An overview comparison of the AIRMIC/ALARM/IRM Risk Management Standard with: the Australia/New Zeland Standard AS/NZS 4360: 2004 and the COSO Enterprise Risk Management Integrated Framework, AIRMIC 2005 ; Marcin Masny, Zaczyna się od burzy mózgów, Dziennik Ubezpieczeniowy

12 W ostatnich latach coraz częściej przeprowadza się badania dotyczące zarządzania ryzykiem. Z publikowanych wyników badań i raportów wynika, że: zarządzanie ryzykiem w przedsiębiorstwie staje się integralną częścią procesów biznesowych firm ubezpieczeniowych na całym świecie, co jest częściowo spowodowane zwiększonym zapotrzebowaniem ze strony agencji rządowych i ratingowych²; 60% firm ubezpieczeniowych na świecie świadomie bierze pod uwagę zarządzanie ryzykiem w procesie decyzyjnym³; zewnętrzne naciski, tj. nowe regulacje prawne czy kodeksy dobrych praktyk zwiększają poprzeczkę dla zarządzania ryzykiem na świecie; Na podstawie różnych badań i sądów można stwierdzić, że zarządzanie ryzykiem nabiera znaczenia, gdyż: stanowisko menedżera ryzyka w ostatnich latach pojawia się coraz częściej w strukturach organizacyjnych firm⁴; firmy ubezpieczeniowe nie tylko w większym stopniu badają ryzyko, ale także coraz częściej obarczają kadrę kierowniczą odpowiedzialnością za wyniki finansowe⁵; w firmach ubezpieczeniowych raportowanie o ryzyku przez pracowników niższych szczebli do wyższej kadry zarządzającej stało się wszechobecną praktyką 39% respondentów składa raporty miesięczne, a 35% kwartalne⁶; wymagania zewnętrzne w postaci aktów prawnych, takich jak: Solvency II, Turnbull, King II, CI 49 itp., wpływają na powstawanie innowacyjnych metod zarządzania Podejście tradycyjne różnice między tradycyjnym a zintegrowanym podejściem do zarządzania ryzykiem Ograniczony wpływ na strategię Niechęć do podejmowania ryzyka Potęgowanie barier Niespójny system informujący Sporadyczna ocena ryzyka Nieokreślona odpowiedzialność za poszczególne rodzaje ryzyka Zamknięta komunikacja Brak jasno zdefiniowanych ról i odpowiedzialności Podejście zintegrowane Efektywne poparcie planów biznesowych strategicznych firmy Proaktywne zarządzanie poprzez unikanie ryzyka i eksploatację ryzyka Zintegrowane podejście Zwięzłe i skonsolidowane informowanie Ciągła ocena ryzyka, rewaluacja i zarządzanie nim Odpowiedzialność za posiadanie ryzyka przypisana do procesów biznesowych i uwzględniana w okresowych ocenach Otwarta komunikacja Role i zakresy odpowiedzialności jasno zdefiniowane i zakomunikowane Źródło: Opracowanie własne autorów na podstawie Enterprise-Wide-Risk Management: A Holistic Approach, William Spinard, Marsh Risk Consulting ryzykiem i określają struktury zasobów finansowych, np. większość banków dostrzega znaczne korzyści wynikające z przepisów Nowej Umowy Bazylejskiej, szczególnie dzięki możliwościom lepszej alokacji kapitału oraz ulepszeniu wyceny produktów związanych z ryzykiem⁷; ponad 70% ankietowanych banków planuje przyjęcie zaawansowanego podejścia opisanego w Nowej Umowie Bazylejskiej w odniesieniu do ryzyka kredytowego oraz ryzyka operacyjnego⁸; około 30% firm z regionu CEE prowadzi formalny rejestr ocenianego ryzyka, rejestry ryzyka są najpopularniejsze na Węgrzech (posiada je około 40%); 20% firm w regionie CEE doświadczyło poważnych strat finansowych w ciągu ubiegłych trzech lat i już 75% z nich stworzyło plany zarządzania kryzysowego, aby zminimalizować negatywny wpływ przyszłych wydarzeń⁹. Z badań wynika również, że zarządzanie ryzykiem nie jest doskonałe i niektóre obszary ERM wymagają poprawy; możemy do nich zaliczyć: sposoby pomiaru ryzyka i metody jego obliczania, szczególnie niezadowoleni są menedżerowie w Wielkiej Brytanii (97%) oraz w Japonii (95%)¹⁰; umiejętność obliczania ryzyka operacyjnego i jego odzwierciedlenia we wskaźnikach finansowych¹¹. Z dużym prawdopodobieństwem można przewidzieć, że zintegrowane zarządzanie ryzykiem w najbliższych latach będzie zdobywało sobie prawo obywatelstwa w polskich przedsiębiorstwach zarówno w wymiarze strategicznym, jak i operacyjnym. Takie są tendencje w skali światowej i już przy obecnym poziomie międzynarodowych powiązań polskiej gospodarki nie sposób przyjąć, że w naszych warunkach proces ten będzie przebiegał inaczej. Takie są również potrzeby przedsiębiorstw, działających w coraz trudniejszych warunkach i obciążonych zwiększonym spektrum ryzyka. Znacznie trudniej jest określić, która z wymienionych koncepcji zarządzania ryzykiem ma szansę zdominować pozostałe nie można również wykluczyć, że następstwem przedstawionej tendencji do wprowadzania miękkich, ewentualnie także twardych uregulowań prawnych będzie wypracowanie nowego, powszechnie akceptowanego standardu zarządzania ryzykiem. Na podstawie takiego standardu można będzie budować spójny, międzynarodowy system certyfikacji menedżerów ryzyka. ¹ Yossi Sheffi, Yosef: The Resilient Enterprise: Overcoming Vulnerability for Competitive Advantage, MIT Press (October 1, 2005), Cambridge, MA ² Raport podaje wyniki internetowego badania przeprowadzonego latem 2006 r., którym objęci byli dyrektorzy ds. ryzyka, dyrektorzy finansowi, aktuariusze i inni członkowie wyższej kadry kierowniczej z ponad 200 firm ubezpieczeniowych i reasekuracyjnych na całym świecie. 80% uczestników badania stanowili prawie po równo członkowie kadry z Ameryki Północnej i Europy, 16% reprezentowało region Azji i Pacyfiku, a 4% Amerykę Środkową. Raport dostępny jest na stronie ³ ⁴ Wypowiedź Prakash Shimpi, Practice Leader odpowiedzialnego za ERM na świecie. ⁵ ⁶ ⁷ Badanie przeprowadzone przez Accenture, Mercer Oliver Wyman i SAP dotyczące przygotowań do zgodności z Nową Umową Bazylejską. ⁸ Badanie przeprowadzone przez Accenture, Mercer Oliver Wyman i SAP dotyczące przygotowań do zgodności z Nową Umową Bazylejską. ⁹ Zarządzanie ryzykiem: możliwość uzyskania przewagi konkurencyjnej w Europie Środkowej i Wschodniej, MARSH, raport z analizy ryzyka ¹⁰ ¹ ¹ 14

13 Czego potrzeba, aby wprowadzić w firmie zarządzanie ryzykiem Jacek Folga specjalista ds. ryzyka kredytowego, Carlsberg Polska Tomasz Redliński Manager, PBSG Janusz Słobosz Risk Consulting Manager, Aon Polska FOTO: Getty Images/FPM Ryzyko jest nieodłącznym elementem otoczenia, w którym funkcjonuje każde przedsiębiorstwo. Istota problemu zarządzania z wykorzystaniem wiedzy o ryzyku zawarta jest w samej świadomości istnienia ryzyka. Rozpoznane ryzyko determinuje automatyczny proces zarządzania nim. Richard Boulton, Barry Libert i Steve Samek, stawiają tezę, że obecnie nie ma firmy, która byłaby wolna od ryzyka. Firmy, które zmieniają swój model biznesowy w reakcji na nową gospodarkę, także podejmują ryzyko. Ryzykują również te organizacje, które postanawiają pozostać przy starych sprawdzonych metodach. Różnica polega na tym, że przedsiębiorstwa reagujące na nowe otoczenie gospodarcze prawdopodobnie lepiej rozumieją podejmowane ryzyko niż te, które nie robią nic, sądząc błędnie, iż w ten sposób ryzyka unikają¹². Warto uświadomić sobie, że każda firma zarządza ryzykiem mniej czy bardziej formalnie, gdyż ryzyko towarzyszy każdej decyzji, a w proces decyzyjny jest naturalnie wkomponowana analiza ryzyka. Dlatego też o wprowadzeniu zarządzania ryzykiem w firmie można mówić w kontekście jego sformalizowania, usystematyzowania, ujednolicenia, aktywnego podejścia, stosowanych najlepszych praktyk czy zaawansowanych narzędzi. Podstawowe pytanie brzmi: co każda organizacja chce osiągnąć przez opisanie tego procesu? Odniesieniem niech będzie dzisiejsze rozumienie zarządzania ryzykiem, tj. enterprise risk management (ERM), o których wspomniano we wcześniejszych artykułach. W dzisiejszych czasach, przy wielu znanych pomysłowych metodach zarządzania organizacją, ograniczanie się do zarządzania tylko wybranymi rodzajami ryzyka jest niewystarczające. Przedsiębiorstwa powinny patrzeć na ryzyko jak na powiązane ze sobą ogniwa łańcucha wartości. Brak kontroli nad jednym z nich może doprowadzić do utraty wartości na kolejnych etapach. Identyfikując rodzaje ryzyka, trzeba pamiętać o ich wzajemnym przenikaniu się. Prezentuje to rysunek obok. Jeśli dział R&D zainicjuje nowy produkt, dział marketingu opracuje doskonałą kampanię reklamową, natomiast wydział produkcyjny nie będzie w stanie oddać gotowego produktu zgodnie z terminem, wówczas nie będzie możliwa sprzedaż, a w konsekwencji wykreowanie wartości. Nawet Źródło: Aon Polska sp. z o.o. jeśli wszystkie etapy przebiegną bezkolizyjnie i produkt zostanie dostarczony do klienta, a dział finansowy nie podejmie czynności ograniczających wpływ ryzyka kredytowego, wówczas istnieje wysokie prawdopodobieństwo deprecjacji lub całkowitej utraty wartości firmy. To, czym jest ERM oraz co powinniśmy lub czego nie powinniśmy robić w trakcie jego wdrażania, ciągle się kształtuje. Dzieje się tak, ponieważ koncepcje zarządcze bardziej są sztuką niż formalną ścisłą dziedziną nauki. Kiedy zaczniemy rozumieć, co stanowi o sukcesie ERM, to w tym samym czasie w równej mierze zaczniemy rozumieć, co stanowi o jego porażce. Czego zatem powinniśmy unikać, wdrażając ERM? NIE OCZEKUJ NATYCHMIASTOWYCH EFEKTÓW. ERM jest procesem, nie produktem. Wymaga czasu i może upłynąć wiele lat, zanim zacznie działać efektywnie. Budowa zdolności i dojrzałości organizacji w zakresie ERM wymaga czasu, tak jak czasu wymagała budowa Rzymu, a szybkość osiągnięcia odpowiedniego poziomu zależy od wielu czynników. Poziomy dojrzałości organizacji w zarządzaniu ryzykiem można zdefiniować jako: specjalizacja ryzyka, świadomość ryzyka przedsiębiorstwa, integracja zarządzania ryzykiem, tworzenie wartości/ optymalizacja ryzyka (wykres 1). Wzrost wartości firmy to główny parametr, przez który właściciele oceniają jakość zarządzania powierzonymi kapitałami. Tylko szerokie spojrzenie na ryzyko pozwala ocenić wpływ systemów zarządzania ryzykiem na wartość. W perspektywie ryzyka trzeba zaobserwować trzy determinanty wartości. Po pierwsze, zarządzanie ryzykiem umożliwia ograniczenie strat. Po drugie, świadoma i dobrze zarządzana ekspozycja na ryzyko pozwala na osiągnięcie ponadprzeciętnych zysków. I po trzecie, zintegrowane zarządzanie ryzykiem umożliwia zapewnienie poprawności przebiegu procesów w całym 15

14 łańcuchu tworzenia wartości. Można przytoczyć przykład zarządzania ryzykiem kredytowym. System zarządzania tym ryzykiem w większości przypadków ogranicza się do minimalizowania strat. Natomiast niewiele przedsiębiorstw dostrzega korzyści, jakie można osiągnąć ze świadomego wystawiania się na ryzyko kredytowe. Korzyści te to przede wszystkim wzrost wielkości sprzedaży i wyższa marża. NIE ZACZYNAJ WSZYSTKIEGO NARAZ. ERM, zgodnie, z definicją, jest procesem ciągłym. Rozpocznij od bitwy, którą możesz wygrać. Zajmij się ryzykiem, które zmieni sytuację, zmieni zachowanie i przyciągnie uwagę. Rozpocznij. Wygrana na tym polu pozwoli zyskać zwolenników i przyśpieszy proces budowy ERM. Dobierz dokładność analizy do możliwości, zbyt powierzchowna analiza nie dostarczy niezbędnych informacji decyzyjnych, zbyt szczegółowa będzie trwać lata i zanim się skończy, już będzie nieaktualna. Częstym błędem jest nieodpowiedni przydział zasobów. Przywiązywanie jednakowej wagi do wszystkich kategorii ryzyka nie gwarantuje sukcesu. Błędem jest również pomijanie w zarządzaniu punktów o mniejszym ryzyku. Sprawia to, że przy sztywnych procedurach zarządzający zapomina o nich i nie monitoruje przyrostu ich istotności. Bardzo dobrym rozwiązaniem jest podział ryzyka na grupy posiadające wspólną cechę (miejsce składowania zapasów, obszar sprzedaży produktów i usług, zakład produkcyjny wchodzący w skład grupy itp.). Wyodrębnienie jednolitych grup zapobiega niepożądanemu pomijaniu rodzajów ryzyka, które w skali globalnej są niedostrzegane, ale ich lokalny charakter może zachwiać wartością firmy. NIE ZATRZYMUJ SIĘ. Istotną kwestią jest zrozumienie, że mapa ryzyka prezentowana kierownictwu wyższego szczebla jest tylko środkiem do osiągnięcia celu, a nie rezultatem końcowym. Prezentowana mapa przyciągnie uwagę, ale nie zmieni zachowań ani sama nie oszczędzi pieniędzy. Dążmy do szerzenia kultury zarządzania ryzykiem na szczeblach kierowniczych, uczmy menedżerów podejmowania racjonalnego ryzyka w oparciu o minimalny wdrożony model oceny ryzyka. Wadą współczesnych przedsiębiorstw jest to, że zazwyczaj ograniczają się one tylko do identyfikacji i pomiaru ryzyka, zapominając o zarządzaniu. Zarządzanie jest natomiast dopełnieniem zagrożeń naniesionych na mapę ryzyka. NIE PRZECENIAJ WARTOŚCI, JAKIE NIOSĄ ROZWIAZA- NIA IT. Dostawcy oprogramowania szybko reagują na potrzeby w tym obszarze. Jeśli pracujesz w dużej organizacji, prowadzącej złożoną działalność, posiadanie natychmiastowego dostępu do pełnej informacji o ryzyku daje cenną przewagę. Technologia pozwala uzyskać przewagę, ale nie jest magiczną różdżką. Dobierając rozwiązanie IT, należy rozważyć, w czym ono może pomóc czy przyśpieszy zbieranie informacji o rodzajach ryzyka, czy zautomatyzuje proces oceny, czy jedynie zastąpi arkusz kalkulacyjny? Oceniając rozwiązania IT wykorzystywane w zarządzaniu ryzykiem, zawsze trzeba to robić przez pryzmat ludzi. Nawet najbardziej zaawansowany system wykres 1. model dojrzałości organizacji w zakresie ERM informatyczny jest tylko narzędziem wspierającym pracę osób odpowiedzialnych za kontrolę ryzyka. Wdrażając lub rozwijając system IT, należy odpowiedzieć sobie na pytanie, jaką wartość wniesie on do pracy ludzi. Oczywiście, analitycy, kontrolerzy i menedżerowie nie mogą pracować bez dostępu do aktualnej informacji przetwarzanej przez różne systemy i aplikacje. Jednak trzeba zawsze pamiętać, że są one jednym z wielu narzędzi, jakimi należy się posługiwać, zarządzając ryzykiem. NIE POMNIEJSZAJ WAGI RYZYKA MIĘKKIEGO. Bezustannie trwają prace w celu opracowania sposobów pomiaru ryzyka, które zanim się zmaterializowało, nie było rozpoznawalne jako ryzyko. Brak planu sukcesji dla strategicznych osób w firmie jest również ryzykiem. Istnieje coraz więcej przykładów, danych czy nowych sposobów pomiaru, które mogą zostać wykorzystane do oceny takich sytuacji. NIE BĄDŹ BOHATEREM. Nie uda się zarządzać ryzykiem odgórnie, bez pomocy ze strony wyższego kierownictwa. Jeśli mamy zarządzać ryzykiem kompleksowo, to brak sponsora w postaci menedżera najwyższego szczebla oznacza brak sukcesu. Zaangażowanie i entuzjazm na odpowiednim szczeblu przekładają się na całą organizacje i wpływają na efektywność oraz skuteczność działań. Jednocześnie nie uda się zarządzać ryzykiem odgórnie, bez pomocy pracowników liniowych. Ta prawda dotyczy zarówno zarządu, jak i kierowników działów czy dyrektora fabryki. Sukcesy na froncie ERM są wynikiem wewnętrznych koalicji. NIE POSŁUGUJ SIĘ DIALEKTEM. Ryzyko i związane z nim elementy nie są tabliczką mnożenia, z dawno już zdefiniowanym i doskonale znanym słownictwem. Postaraj się zbudować jeden wspólny język, dopiero wówczas będzie można znaleźć zrozumienie i konstruktywnie tworzyć rozwiązania. Ryzyko inaczej jest rozumiane przez specjalistę na linii produkcyjnej, a inaczej przez finansistę. NIE PORYWAJ SIĘ Z MOTYKĄ NA SŁOŃCE. Na rynku są specjaliści w tej dziedzinie, którzy mogą zaimportować strukturę oraz ją wdrożyć. Specjaliści mogą dostarczyć lub uzupełnić wewnętrzne zasoby organizacji, monitorować nasze działania, wspomagając zgodność działania, przechowywać i analizować dane, ułatwiać międzywydziałowe alianse, ekstrapolować lokalne sukcesy na całą sieć organizacji. Mogą również pomóc przekonać kierownictwo wyższego szczebla, że wysoka fluktuacja kadr jest tak samo niebezpieczna jak awaria systemu komputerowego lub na przykład wysoko sprężone gazy w instalacji. NIE TWÓRZ SZTUKI DLA SZTUKI. ERM ma dostarczać informacji zarządczej. To nie kolejna zabawka dla kolejnej komórki organizacyjnej. Zbadaj potrzeby zarządu dotyczące racjonalizacji zasobów i dopasuj metody badania ryzyka do ich potrzeb. Zarząd nie oczekuje ERM, a jedynie optymalizacji działania organizacji, dlatego też ERM jest tylko narzędziem do spełnienia ich potrzeb. NIE BĄDŹ ODLUDKIEM. W każdej firmie funkcjonuje system zarządzania, często zgodny z wizjami właściciela czy też wymaganiami prawnymi lub standardami. O wiele większe korzyści można odnieść, integrując podejścia i stosowane systemy, niż tworząc własny świat. Jeśli w firmie funkcjonuje system zarządzania jakością czy strategiczna karta wyników, wykorzystaj to i włącz ideę ERM w już istniejące podejścia. Integracja systemów, a tym samym osiągnięcie jednego modelu zarządczego, przyczynia się do osiągnięcia sukcesu. Czego zatem potrzeba? Przede wszystkim zrozumienia wartości, jakie niesie aktywne podejście. Pierwszym i najważniejszym czynnikiem sukcesu jest wzrost świadomości istnienia ryzyka i wykazanie indywidualnych korzyści dla osób, które mogą stać się promotorami koncepcji. Jeśli nie będziemy przekonywać do zarządzania ryzykiem tylko poprzez pryzmat spełnienia określonych wymagań i przepisów, mamy szansę odnieść sukces. Obudowanie zarządzania ryzykiem procedurami jest ważne, ale nie tak istotne jak ludzie, którzy tworzą organizacje. Czasem krótki uporządkowany warsztat identyfikacji i oceny ryzyka dla zarządzających może wnieść o wiele więcej, nawet w przypadku dużej organizacji, niż rozbudowany system, z wieloma procedurami i zaawansowanymi narzędziami. ERM jest kolejnym systemem zarządczym, zatem znaczącym błędem byłoby niezintegrowanie go z już funkcjonującymi systemami, a tym samym z kulturą organizacji. ¹² Richard E.S. Boulton, Barry D. Libert, Steve M. Samek, Odczytując kod wartości. Jak firmy tworzą wartość w nowej gospodarce. WIG Press, Warszawa 2001, s Źródło: Aon Polska sp. z o.o. 16

15 Risk Manager i jego funkcja Tomasz Miazek, dyrektor Departamentu Ubezpieczeń i Zarządzania Ryzykiem Korporacyjnym Grupy TP, Telekomunikacja Polska Rafał Rudnicki, Risk & Insurance Manager, Raben Group FOTO: Getty Images/FPM Stanowisko risk managera i jego role w firmie mogą być bardzo różnorodne. W zależności od rodzaju i wielkości organizacji, mogą to być specjaliści w jednym z kluczowych obszarów obejmujących szczególne zagrożenia dla działania firmy (np. ryzyko kredytowe, ryzyko IT, bezpieczeństwo obiektów, technologia i funkcjonowanie linii produkcyjnej) lub są oni bezpośrednio właścicielami ryzyka, którym zarządzają. Pierwsza funkcja jest dość naturalna: firma zidentyfikowała duże ryzyko i wyznaczyła osobę odpowiedzialną za jego zarządzanie. Najczęściej jednak w dużych firmach w Europie obserwujemy sytuację, w której istnieje rozdział pomiędzy właścicielami ryzyka a risk managerem na poziomie korporacyjnym. Wówczas mamy do czynienia z nowoczesnym, zaawansowanym pojęciem risk managera (corporate risk officer, group risk manager). Wprowadzenie risk managera stratega i koordynatora wymaga większej promocji wewnątrz firmy. Taki model promuje między innymi polskie stowarzyszenie POLRISK, jako zgodny z ideą enterprise risk management. Tak jak w przypadku risk managerów, ekspertów, intuicyjnie można ocenić, że potrzebują oni wiedzy z zakresu swojej działalności (IT, finanse, bezpieczeństwo, inżynieria itp.), w przypadku korporacyjnego menedżera ryzyka sprawa jest bardziej złożona. Z naszego doświadczenia wynika, że w przypadku sprawowania funkcji risk managera niezbędna jest wiedza choćby w podstawowym zakresie z różnych obszarów: finanse, w tym rachunkowość zarządcza, oraz ubezpieczenia i relacje inwestorskie to podstawa. Nie mniej ważna wydaje się znajomość formy biznesu, którym zarządzamy, a pogłębiona znajomość branży, firmy i kuchni gwarantuje sukces w tworzeniu i realizacji strategii. Miejsce risk managera w strukturze firmy Risk manager powinien być zaufaną osobą zarówno dla zarządu, jak i dla innych menedżerów. Jako strażnik interesu udziałowców, niejednokrotnie pełni rolę koordynatora wielu cząstkowych działań i projektów w różnych obszarach lub funkcjach firmy, spiętych razem systemem zarządzania ryzykiem. Im większa organizacja, tym większa potrzeba koordynacji, zatem powołanie takiej osoby wydaje się nieuniknione. Zwykle bezpośrednim przełożonym risk managera jest w europejskich firmach CFO lub rzadziej CEO. Niekiedy nawet coraz częściej zdarza się, że CRO jest członkiem zarządu. Jednoznacznie wskazuje to na coraz bardziej strategiczną rolę risk managementu w firmach. W polskiej rzeczywistości nie wyklarowała się jasna odpowiedź na pytanie: czy RM jest specjalistą czy dyrektorem? Odpowiedź na nie, jakiej udzieli zarząd, ma niebywałe znaczenie. Będzie od tego zależeć, kogo chcemy zatrudnić na stanowisko risk managera i co możemy mu zaoferować. Jest to niewątpliwie bardzo ważne stanowisko. Należy pamiętać, że RM efektywnie wykorzystując budżet, dodatkowo organizuje pracę innych. Myliłby się jednak ktoś, kto sądzi, że menedżer ryzyka ma olbrzymi sztab ludzi dla niego pracujących. Podstawowym wyzwaniem RM w średnich i nawet dużych firmach jest brak własnych struktur. Departament RM to zazwyczaj 2 5 pracowników, rzadkością są departamenty RM zatrudniające ponad 20 czy nawet ponad 50 osób (np. firma Rolls-Royce). Z kolei w dużych firmach panuje niekiedy przekonanie, że ważny jest ten, kto ma pod sobą duże struktury. Pojedyncza osoba bez przyporządkowanego kwadracika na schemacie organizacyjnym postrzegana jest jako działania doraźne, którym nie należy poświęcać zbyt dużo czasu. Tymczasem, jeśli się przyjrzeć temu bliżej, brak rozbudowanych struktur ma głęboki sens menedżer ryzyka, jako pomysłodawca, twórca rozwiązań, konsekwentnie je wprowadzający koordynator, nie musi wszędzie mieć swoich ludzi. Skutkiem ubocznym takiej roli menedżera ryzyka jest niejednokrotne ich ciągłe podróżowanie po całym świecie od spółki do spółki, od oddziału do oddziału... Menedżer ryzyka to audytor, wizjoner, doradca czy biznesmen? Zagrożeniem dla menedżera ryzyka jest traktowanie go jako kontrolera, a zarządzania ryzykiem jako obowiązku sprawozdawczego (podejście compliance). Menedżer ryzyka coraz mniej jest audytorem czy kontrolerem zarysował się już rozdział odpowiedzialności pomiędzy RM a audytem wewnętrznym, 17

16 wynikający choćby z COSO ERM Framework. Group risk manager to przede wszystkim wizjoner, architekt rozwiązań biznesowych gwarantujących, że zgodnie z wymogami corporate governance rada nadzorcza i zarząd mają możliwie pełną kontrolę nad firmą włącznie z tym, co się dzieje pod spodem. Jest również doradcą i wewnętrznym konsultantem dla menedżerów liniowych i zarządu, w chwilach rozgryzania najtrudniejszych kategorii ryzyka i szukania dla nich najefektywniejszych biznesowo rozwiązań. Jest też biznesmenem, gdyż promuje świadome podejmowanie ryzyka gospodarczego jako klucz do sukcesu firmy i uzmysławia, że zarządzanie ryzykiem nie jest celem samym w sobie musi mieć efekty w postaci trafniejszych decyzjach biznesowych. Dość typowe jest myślenie, że menedżer ryzyka to osoba, która powinna znaleźć rozwiązanie na wszelkie rodzaje ryzyka, z którymi spotyka się firma. Jest to zwykle podejście z gruntu mylne w praktyce bardziej realne i skuteczne na długą metę jest odpowiednie motywowanie wszystkich menedżerów w firmie tak, żeby zarządzali różnymi kategoriami ryzyka w swoim obszarach. Zatem menedżerowie jako właściciele ryzyka sami nim zarządzają, a risk manager jest koordynatorem i architektem, który dba o to, żeby obowiązywały pewne zasady działania i standardy, np. aby akceptowalne poziomy ryzyka były ustalone na wysokim szczeblu. W klasycznym przypadku wprowadzania ERM chief risk officer nie jest jednocześnie właścicielem ryzyka, tylko koordynatorem kontaktuje się z zarządem, radą nadzorczą oraz z innymi menedżerami. Taka osoba może odgrywać ważną rolę w procesie opracowywania strategii i budżetu. Czy są jakieś szczególne kwalifikacje, które musi posiadać RM? Z pewnością niezbędne są ogólna wiedza menedżerska oraz dobra znajomość swojej firmy. Doświadczenia nasze i wielu innych menedżerów ryzyka pokazują, że RM zaczyna pracę w nowej w firmie od jej dogłębnego poznania z własnej perspektywy i zaglądania tam, gdzie jeszcze nikt nie zaglądał, zadawania pytań, których jeszcze nikt w firmie jeszcze nie zadawał. Trwa to niekiedy kilka czy kilkanaście miesięcy i trzeba mieć do tego predyspozycje, aby umieć sobie poradzić z kosmiczną nieraz ilością informacji, jakie należy przetworzyć i wykorzystać przy tworzeniu biznesowego kontekstu do późniejszej identyfikacji i oceny ryzyka. Inną cenną umiejętnością jest tworzenie dobrych relacji międzyludzkich, umiejętne i dobitne komunikowanie oraz radzenie sobie z dynamicznie pojawiającymi się nowymi obawami kierownictwa. Doświadczenie zarówno nasze, jak i wielu menedżerów ryzyka z Anglii oraz innych krajów europejskich wskazuje, że najistotniejsze jest zbudowanie dobrych relacji z kadrą kierowniczą firmy różnych szczebli. Dopiero na kolejnym miejscu należy postawić sprawny warsztat metodologiczny i umiejętność budowania rozwiązań systemowych. Funkcja risk managera to z jednej strony wciąż raczkujące dopiero w Polsce stanowisko (przeciętny polski menedżer jeszcze niewiele wie na ten temat), należy zatem komunikować się z kierownictwem w sposób klarowny i prosty. Z drugiej strony, pierwsze typowe zadanie menedżera ryzyka to zakomunikować wszystkim, że teraz będziemy to robić zupełnie inaczej. Praca RM ma charakter wybitnie menedżerski konsekwencja we wprowadzaniu i egzekwowaniu zmian w firmie jest drugą po zdolnościach komunikacyjnych niezbędną cechą charakteru. Zarządzania ryzykiem nie można nauczyć się z książek typowa ścieżka kariery czy korzenie to ogólne doświadczenie biznesowe połączone z wiedzą ekspercką w jednym z typowych obszarów biznesu, w których zarządza się ryzykiem, oraz dużo praktyki związanej z każdym z etapów wdrażania ERM w firmie. Wiedza specjalistyczna na pewno pozwala zbudować wiarygodność z tego względu warto zainwestować czas i pieniądze w niejeden kurs czy szkolenie zarządzania ryzykiem, których w Europie oferowanych jest sporo. Wydaje się to szczególnie potrzebne, gdy mamy objąć stanowisko np w spółce giełdowej, którą oceniają zewnętrzni inwestorzy oraz specjaliści z funduszy inwestycyjnych i agencji ratingowych. Dlaczego funkcja RM nie przysparza wielu przyjaciół? Zarządzanie ryzykiem demaskuje braki w kompetencjach zarządzających i błędy decyzyjne przecież wygodniej jest zrzucić winę za niepowodzenia na zdarzenia, których rzekomo nie dało się przewidzieć. RM wymaga rozmowy o przyszłych zdarzeniach, rozważania nie zawsze najlepszych scenariuszy. Może się zdarzyć, że w wyniku takiej oceny wiele nowych pomysłów trafi do kosza, a niektóre błędy czy złe decyzje menedżerskie zostaną bezlitośnie obnażone. Oczywiście nikt nie lubi zabijać swoich pomysłów już na etapie początkowym czy być poddawany próbie lub osądom. Niejednokrotnie zarządzanie ryzykiem oznacza porażkę dla niefortunnych pomysłodawców bądź nieskutecznych menedżerów, lub chwilowe zachwianie ich kariery. W efekcie risk manager może być postrzegany w strukturze firmy jako osoba blokująca nowe (złe) inicjatywy lub wymiatająca śmieci spod dywanu. To z kolei w najgorszym scenariuszu może zablokować chęć komunikowania przez kierownictwo istniejących problemów. Dlatego ważne jest zrozumienie sensu ZR przez najwyższą kadrę, która jest rozliczana z niego w długiej perspektywie czasowej. Prawdziwą sztuką jest uzyskanie informacji o faktycznych rodzajach ryzyka, przed którymi stoi firma, oraz doprowadzenie do tego, żeby system alokacji zasobów pozwalał na realizację planów zaradczych. Bywa, że zarządzanie ryzykiem (wizja na kolejne miesiące) przegrywa walkę o czas menedżerów liniowych z zadaniami badania ferma koniec 2006 operacyjnymi na dziś, na za tydzień. Zagrożenie czyhające na RM, jeśli nie potrafi zademonstrować kierownictwu bezpośrednio dla nich wynikającej wartości dodanej z zarządzania ryzykiem, to przede wszystkim utrata wiarygodności i zepchnięcie w czeluści biurokracji. Co to znaczy dobry risk manager czy można to ocenić? Dobry menedżer ryzyka to taki, który potrafił zaprojektować model zarządczy idealnie pasujący do specyfiki firmy oraz pojemny zdolny do akomodowania nieustannej dynamiki firmy i jej rynku. To osoba, która z żelazną konsekwencją ten model wprowadziła i zdołała trwale wpłynąć na praktykę i styl zarządczy w firmie. Ocena dokonań RM sprowadza się między innymi do weryfikacji, czy udało mu się doprowadzić do rozwiązania kwestii ważnych rodzajów ryzyka. Dobry RM musi niewątpliwie pokazać trend rozwoju zarządzania ryzykiem nie tylko w kierunku uciekania od zagrożeń, ale i wykorzystywania szans kluczem do sukcesu firmy powinna być promocja świadomego podejmowania ryzyka biznesowego. Gdzie znaleźć dobrych risk managerów? Najczęstszą w Polsce praktyką jest poszukiwanie kandydatów na to stanowisko wśród brokerów lub ubezpieczeniowców. Do pewnego stopnia jest to powszechne również w całej Europie wystarczy spojrzeć na nazwy stowarzyszeń, które w znakomitej większości łączą nawet w nazwie te dwie funkcje. Inne typowe funkcje, z których rodzą się menedżerowie ryzyka, to prawnicy, inżynierowie, specjaliści i audytorzy bezpieczeństwa pracy, kontrolerzy bądź audytorzy finansowi. Samo stanowisko i jego charakter są nadal niezwykle różnorodne, stąd nie ma jedynego właściwego wzorca. Podglądając, co dzieje się w największych europejskich organizacjach zarządzających ryzykiem (w brytyjskim AIRMIC czy w europejskim FERMA), już na pierwszy rzut oka widać tę różnorodność podejścia i koncepcji risk managementu, znajdującą swoje odzwierciedlenie w wielu zróżnicowanych zagadnieniach poruszanych na ich konferencjach. Okazuje się, że nie przeszkadza nam ona, jesteśmy pod tym względem wobec siebie niezwykle tolerancyjni w różnorodności siła. Gwarantuje nam ona wymianę bogatych doświadczeń, wiedzy eksperckiej oraz wzajemne uczenie się na raz popełnionych przez innych błędach. Taką rolę pełni między innymi zawiązane zeszłego roku Stowarzyszenie Zarządzania Ryzykiem POLRISK. risk management is directly sponsored by the board/supervisory committee (44%) or the CEO (34%) vast majority of risk managers report to the CFO (46%) or CEO (27%). the risk management representative widely deals with the board or supervisory committee at least on an annual basis (63%). the risk management function is currently mostly together with the insurance managementfunction (60%) and separated from the internal audit department (73%). Among companies having an internal audit activity (89%), half of them (51%) have set up relationship between risk management and internal audit, Among companies dealing with internal control regulations (70%), risk management indirectly contributesto the work performed (56%). 18