Wykonane wcześniej analizy (patrz poprzedni odcinek): identyfikacja ryzyk, wyznaczenie skal do ich oceny oraz przeprowadzenie kwantyfikacji ryzyk doprowadziły do stanu, w którym każde z ryzyk zostało zmierzone – lepiej czy gorzej, ale zawsze na miarę ambicji, potrzeb i możliwości firmy. Najpowszechniej przyjęte miary ryzyk opierają się na ich skutku (mierzalna – najczęściej finansowo, konsekwencja) i prawdopodobieństwie.
Dodam dla porządku, że bywają metodologie, które rozwijają ocenę i miary ryzyka do wielu parametrów. Przytoczę poglądy dwóch „guru” zarządzania ryzykiem (obaj gościli na niedawnej konferencji Stowarzyszenia Polrisk jako prelegenci). Paul Hopkin z Wielkiej Brytanii w swojej metodologii FIRM opiera się na czterech podstawowych parametrach: skutek (wielkość konsekwencji), czas oddziaływania skutku, prawdopodobieństwo i stopień kontroli jaką mamy na ryzykiem; oraz na dwóch uzupełniających cechach ryzyka, odzwierciedlających ich przynależność do pewnych grup czy klas ryzyk. Klasy ryzyk determinują potem sposób reagowania firmy na portfel ryzyk w przedsiębiorstwie. Z kolei Gert Cruywagen z RPA doliczył się 11 czynników czy cech, jakimi na świecie opisuje i mierzy sie ryzyko.
Wracajmy jednak do mapy ryzyka (…). Nie należy ulegać złudzeniu, że jednorazowe stworzenie tej mapy całkowicie wystarczy. Mapa ryzyka jest bowiem obrazem dynamicznym – podobnie jak całe przedsiębiorstwo – a naniesione na niej ryzyka powoli, ale nieubłaganie, przemieszczają się. Na tym polega istota cyklu zarządzania ryzykiem, który wymaga powtarzalności ocen i dopasowywania decyzji i postępowania do zmieniającego się portfela ryzyk.
Wykres zwany mapą ryzyka jest „pulpitem sterowniczym” i tablicą kontrolną zarządzających firmą – pozwala jednoznacznie i możliwie obiektywnie wyodrębnić ryzyka priorytetowe. Przeskoczyłem w tym miejscu z liczby pojedynczej (ryzyko) na mnogą (ryzyka), gdyż zarządzanie ryzykiem korporacyjnym polega na zarządzaniu ryzykami (portfelem ryzyk), a nie ryzykiem (każdym z osobna). To właśnie mają na myśli risk managerowie piętnując tzw. „myślenie silosowe” (tzn. zarządzanie pojedynczym ryzykiem przez każdego managera z osobna) oraz podkreślając, że wartością ERM jest umożliwianie firmie optymalnego alokowania jej zasobów (kapitału, czasu pracowników, uwagi zarządu) do wyselekcjonowanych ryzyk – priorytetowych dla całej firmy.
Ryzyko szuka swojego właściciela
Następny etap to „chwycenie byka za rogi” (czyli fachowo: reagowanie na ryzyko). Powinien on być poprzedzony decyzją, kto tego byka chwyci za rogi, tj. kto będzie jego „właścicielem” (risk owner). Właściciel ryzyka to zwykle manager, który spełnia łącznie trzy warunki:
– ma kompetencje merytoryczne, umożliwiające mu podejmowanie trafnych decyzji dotyczących obszaru biznesowego, w jakim tkwi „jego” ryzyko;
– ma władzę menedżerską, aby te decyzje egzekwować;
– ma budżet, z którego te decyzje może finansować.
W typowej firmie zostaje wyłonionych około 30-70 ryzyk, jakim warto poświęcić uwagę (tj. poddać je analizie i pomiarowi). Spośród nich pozostaje zwykle na stole zarządu nie więcej niż 3-7 ryzyk, które naprawdę są priorytetowe, gdyż mogą decydować o powodzeniu lub porażce celów biznesowych. Kolejne 10-20 ryzyk zazwyczaj pozostaje w kompetencjach szefów działów lub pionów.
W ten sposób struktura własności ryzyka odzwierciedla naturalną (inną w każdej firmie) strukturę zarządczą, a kaliber ryzyka determinuje szczebel kierowniczy, na jakim będzie się nim zarządzać. Kluczowe znaczenie ma wprowadzenie zasady rozliczania risk ownera ze skuteczności i efektów zarządzania ryzykiem, w odróżnieniu od nie zawsze jasnego pojęcia „odpowiadania” za ryzyko. Rozliczanie poprzedzone jest stawianiem tzw. celów SMART – muszą być one bowiem:
Specific – precyzyjnie określone,
Measurable – mierzalne,
Agreed – zakomunikowane właścicielowi ryzyka i uzgodnione z nim,
Realistic – realistyczne,
Time bound – określone terminem.
Wprowadzenie reguły „własności” pojedynczych ryzyk nie powinno przesłaniać obrazu wspomnianego portfela wszystkich ryzyk (omawianej mapy ryzyka).
Całe dotychczasowe analizy prowadziły do przygotowania właściwego gruntu pod możliwie najtrafniejsze decyzje strategiczne i operacyjne, których celem ma być „pozbycie się” zbyt wysokiego obciążenia ryzykiem. Każdy czytający odnosi wrażenie, że groźnie brzmiące terminy „mapa ryzyka”, „właściciel ryzyka mający kompetencje, władzę i budżet” czy „zasada rozliczania z efektów działań” pachną co najmniej przygotowaniem do wojny – i jest to słuszne wrażenie. Kolejny bowiem etap: wybór i realizacja taktyki postępowania wobec ryzyka, jest chrztem bojowym i sprawdzianem, na ile osoby zarządzające firmą rzeczywiście chcą w sposób świadomy podejmować ryzyko i próbować je kontrolować, a nie zamiatać pod dywan.
To ważny moment dla firmy – szczególnie jeśli zdarza się pierwszy raz – gdyż wtedy właśnie „wychodzi szydło z worka”. Innymi słowy: wychodzą wszelkie słabości i niedojrzałość dotychczasowej kultury korporacyjnej firmy. Niestety w wielu firmach w tym właśnie momencie realnie kończy się zarządzanie ryzykiem, bo kolejny krok musi się odbywać już nie na papierze, ale w strukturach, operacjach i budżecie „żywego” przedsiębiorstwa. Dla wielu firm jest to jednak zbyt wielkim wyzwaniem.
Strategie reagowania
Mapa ryzyka jest również narzędziem, podpowiadającym jak zasadniczo powinno się reagować na poszczególne ryzyka, gdyż zagrożenia plasujące się bliżej każdego z rogów mapy (patrz Wykres 1) wymagają odrębnych strategii reagowania (risk treatment):
– ryzyka przy prawym górnym rogu wymagają bezzwłocznego i aktywnego działania („czerwona lampka kontrolna” dla zarządu), zmierzającego do jednoczesnego zmniejszenia możliwych skutków oraz prawdopodobieństwa zdarzenia. Rozważa się wtedy również zaniechanie działalności firmy, która łączy się z takimi ryzykami;
– ryzyka w lewym górnym rogu (nazywam go „rogiem mało realnych katastrof”), jako że są mało prawdopodobne, należy traktować jako mniej pilne niż te poprzednie. Wymagają natomiast zabiegów zmierzających do długofalowego zmniejszenia możliwych ich skutków oraz budowania planów awaryjnych (nawiązanie do zarządzania kryzysowego);
– ryzyka w prawym dolnym rogu to „siły tarcia w biznesie”, występujące w każdym przedsiębiorstwie: niedoskonałości procesów i organizacji – wymagające systemowego podejścia i analizy trendów, a nie poszczególnych incydentów.
Pominięte w powyższym komentarzu ryzyka (lewy dolny róg wykresu) to te, które przedsiębiorstwa powinny „tolerować”, to jest nie poświęcać im zbyt wiele uwagi, energii i kapitału.
Teraz postaram się skrótowo zapoznać Państwa z kilkoma niemiło brzmiącymi, teoretycznymi terminami ze słownika risk managerów, bez których ten tekst byłby niekompletny. Obiecuję, że potem wynagrodzę to przykładem z praktyki.
Właściciel ryzyka – wspierany doświadczeniem menedżera ryzyka – ma do dyspozycji bogate (przynajmniej teoretycznie) oprzyrządowanie pomagające we właściwym reagowaniu na nie:
– unikanie ryzyka, czyli zaniechanie działań lub zasobów generujących ryzyko (na przykład przeniesienie lokalizacji fabryki z terenów powodziowych lub obarczonych aktywnością tektoniczną);
– kontrolowanie lub transfer ryzyka (omówione będzie poniżej);
– retencja ryzyka, czyli jego świadome, wkalkulowane zatrzymanie go w firmie (samofinansowanie, samoubezpieczenie).
Kolejność tych rozwiązań nie jest przypadkowa – podyktowana bowiem coraz bardziej pogarszającym się wskaźnikiem nakładów czasu, wysiłku i pieniądza w stosunku do uzyskanych efektów kolejnych przedstawionych rozwiązań.
Kiedy unikanie ryzyka jest niemożliwe, należy podjąć próbę jego kontrolowania, które może odbywać się:
– poprzez prewencję, czyli oddziaływanie na prawdopodobieństwo (przyczyny, mechanizmy prowadzące do tzw. realizacji ryzyka), najbardziej efektywne przy ryzykach gdzie działają „prawa serii” – położonych w prawym dolnym rogu wykresu;
– poprzez redukcję, czyli oddziaływanie na skutek realizacji ryzyka (zmniejszanie jego maksymalnej wielkości) – najczęściej skuteczne przy ryzykach położonych w lewym górnym rogu wykresu.
Transfer ryzyka polega na odpłatnym przeniesieniu całej ryzykownej działalności, lub samego wiążącego się z nią ryzyka, do partnera (dostawcy, odbiorcy, bądź poprzez outsourcing), który jest lepiej przygotowany do kontrolowania i finansowania takiego ryzyka. Przypadek szczególny (i nie zawsze najbardziej ekonomiczny) transferu ryzyka to jego ubezpieczenie, które jest niczym innym jak tylko odpłatną zamianą sytuacji niepewności finansowej (szkoda – nie wiadomo kiedy nastąpi i w jakiej wysokości) na z góry pewny poziom kosztów (umowne składki ubezpieczeniowe płacone przez całe życie firmy).
Przed zrealizowaniem działań obejmujących reakcje na ryzyko – szczególnie chodzi o kontrolowanie i transfer ryzyka – niezbędne jest przeprowadzenie analizy kosztów i rentowności takiego projektu. Zważywszy na konieczność podejmowania decyzji dotyczących „miękkich” ryzyk (utrata reputacji itp.), analiza kosztów i korzyści powinna oprócz elementów czysto finansowych uwzględniać wspomniane już wartości niefinansowe np. corporate values.
W praktyce bardzo rzadko wybiera się tylko jedną ze wspomnianych czterech taktyk (unikanie, kontrola, transfer i zatrzymanie ryzyka), natomiast bardzo często łączy się je.
Ryzykowne podróże zarządu
A teraz obiecany przykład. W pewnej firmie usługowej zarząd doszedł do przekonania, że tym, co pozytywnie odróżnia firmę od całego rynku i decyduje o jej udziale w rynku, jest ogromne doświadczenie i tajemna wiedza, którą posiadają menedżerowie najwyższego szczebla. W związku z tym, utrata CEO lub któregoś z kilku innych menedżerów jednocześnie, szybko zakończyłaby żywot przedsiębiorstwa. Tymczasem firma była doceniana przez rynek, gdyż ci mistrzowie w swojej branży zawsze byli dostępni dla klientów – często podróżowali, niejednokrotnie wspólnie.
I właśnie te częste podróże kluczowych dla firmy osób okazały się jednym z największych dla niej potencjalnych zagrożeń. Postanowiono zatem drastycznie zmniejszyć ryzyko związane z podróżami tychże osób i podjęto następujące środki:
a) W pierwszej kolejności zdecydowano, że podróże wewnętrzne zawsze będą się odbywały w kierunku do CEO, co spowoduje że on sam będzie mniej podróżował (transfer ryzyka z CEO na innych menedżerów).
b) Spotkania z klientami, w których CEO oraz inni kluczowi ze względu na swoje know-how menedżerowie muszą być obecni, w miarę możliwości będzie się zastępować telekonferencjami (unikanie). W tym celu zakupiono infrastrukturę do przeprowadzania wideokonferencji.
c) Wprowadzono również zasadę, że nie może podróżować więcej niż dwóch menedżerów razem, a CEO zawsze musi podróżować sam (zmniejszanie skutku).
d) Każdego z kluczowych dla przedsiębiorstwa menedżerów zobowiązano do przygotowania w ciągu roku zastępcy, który miałby takie kompetencje, by w razie nieszczęścia przejąć obowiązki z marszu.
Przed wprowadzeniem tych drastycznych posunięć w życie, przeprowadzono analizę, z której wynikało, że podwyższone koszty podróży (a) oraz (c), plus instalacja infrastruktury do wideokonferencji (b) oraz koszty szkoleń (d) dawały w sumie kwotę wielokrotnie niższą, niż teoretyczna utrata przychodów i udziału w rynku, na jakie firma byłaby narażona, gdyby ryzyko się zrealizowało w sytuacji braku przygotowania na nie. Oceniono, że próba świadomego wpłynięcia na to ryzyko zakończyła się powodzeniem.
(…)
Rafał Rudnicki
(Pełna wersja artykułu w nr 2/2008 „Przeglądu Corporate Governance”)
