Formułą, na której bazują rozważania zawarte w tym artykule, jest Risk Management Standard stworzony jesienią 2002 roku przez ekspertów z trzech brytyjskich organizacji: AIRMIC (Association of Insurance and Risk Managers), IRM (Institute of Risk Management) oraz ALARM (National Forum for Risk Management in Public Sector). Formuła ta zasadniczo podobna jest do modelu zarysowanego w nieco wcześniejszym, australijsko-nowozelandzkim standardzie AS/NZS 4360:2004. Ten drugi, mimo że bardziej rozbudowany (a może właśnie dlatego), jest bardziej przyjazny dla początkującego risk managera, a ponadto zawiera dwa znamienne elementy, których brak w standardzie brytyjskim (o czym później).
Zarządzanie ryzykiem gospodarczym nie jest jednorazowym aktem czy zbiorem kilku decyzji, lecz procesem zamykającym się w pętlę logiczną (…). Pierwszym ruchem, bez którego nie ma nawet mowy o dobrym systemie zarządzania ryzykiem (niestety nie mówi o nim zbyt wiele standard brytyjski) jest uświadomienie sobie tzw „kontekstu”: celów biznesowych firmy oraz celów (oczekiwań) jej interesariuszy.
(…)
Trzeci z najpowszechniej wykorzystywanych modeli – amerykański COSO Enterprise Risk Management Framework kładzie – oprócz tych dwóch wątków – znaczny nacisk na procesy biznesowe. Zgodnie z tym modelem, powinny one być doskonale opisane przez menedżerów przed przystąpieniem do właściwych działań wiążących się z zarządzaniem ryzykiem. Jeśli więc którykolwiek z menedżerów mówi: „zarządzam ryzykiem w moim oddziale (departamencie)”, to jakby mówił: „doskonale znam cele biznesowe mojego departamentu oraz firmy, a także oczekiwania naszych interesariuszy oraz rozumiem najważniejsze procesy w naszej firmie, nie tylko te przebiegające w moim departamencie”.
Trzeba być odkrywczym i przewidującym…
Identyfikacja ryzyka polega na metodycznym przeglądzie wszystkich bez wyjątków aspektów funkcjonowania firmy i jej otoczenia biznesowego. Przy czym – rzecz niezwykle istotna – ryzykiem dla konkretnej firmy działającej w konkretnej branży jest wyłącznie takie zjawisko, które może firmie przeszkodzić w osiągnięciu jej celów biznesowych, zakłócić podstawowe procesy lub zagrozić oczekiwaniom interesariuszy.
W celu zidentyfikowania ryzyka do dyspozycji jest wiele narzędzi, znanych większości menedżerów, w tym np.:
stakeholders analysis (analiza pod kątem oczekiwań głównych grup interesu);
analiza SWOT;
analiza PEST.
Pomocne może być wykonanie gruntownego przeglądu przepływów i koncentracji zasobów firmy w aspekcie geograficznym i logicznym (operacyjnym, funkcjonalnym). Nieocenione są rozmowy i warsztaty przeprowadzane z menedżerami i kierownikami niższych szczebli operacyjnych – gdyż niejednokrotnie to oni znacznie lepiej niż zarząd zdają sobie sprawę z ryzyk, jakie zagrażają firmie. Lista rozmówców jest otwarta, risk manager powinien przejawiać mnóstwo inicjatywy w jej rozszerzaniu, aby uniknąć wybiórczego analizowania obszarów organizacji (tzw. silo thinking).
Złożone obszary i funkcje w obrębie firmy mogą wymagać bardziej specjalistycznych narzędzi analitycznych, takich jak: mapowanie procesów, flow charts (analiza ilości i rodzaju przepływających przez infrastrukturę firmy materiałów pod kątem wzajemnego wpływu na wynik), metody HAZOP (Hazard and Operability Studies), HAZID (Hazard Indentification Study), Fault Tree Analysis, Root Cause Analysis, metoda Bowtie …
Identyfikacja ryzyka to pierwsza pułapka, w którą łatwo się złapać – sensem tego etapu jest bowiem bycie odkrywczym, przewidującym i innowacyjnym. Identyfikacja ryzyk odbywa się dość regularnie, w sposób powtarzalny (cykliczny) i powinien wykonywać ją podświadomie praktycznie każdy pracownik i kierownik. Zwykle przybiera to jednak postać zorganizowaną i mniej czy bardziej sformalizowaną: tzw. checklisty to najprostszy, ale też najmniej wartościowy sposób identyfikacji ryzyk – nie pozwala bowiem wyjść poza dotychczasowe przekonania, utrudnia pracę grupową i nie pozwala na swobodne „odkrywanie” nowych zagrożeń.
Opis musi być jasny i klarowny
Lepszym narzędziem jest burza mózgów, choć obecność na takich warsztatach mocnej osobowości (szczególnie na wysokim szczeblu menedżerskim) nie równoważona przez co najmniej równie silną i niezależną osobowość prowadzącego burzę (zwykle risk manager), może zniweczyć potencjał, jaki można by czerpać z doświadczenia pozostałych uczestników. Proszę mi wierzyć – takie sesje bywają niezwykle ożywczym doświadczeniem dla uczestników, którzy niejednokrotnie odkrywają własną firmę na nowo, czy też zażarcie kłócą się między sobą o realne i nierealne zagrożenia…
Metodą pozwalającą uczestnikom uwolnić się od wpływu silnych jednostek jest m.in. metoda delficka, która bazuje na anonimowym formułowaniu indywidualnych opinii, a następnie wypracowaniu wspólnej opinii na podstawie wypowiedzi eksperckich i wielokrotnych iteracji.
Ostatnim krokiem w identyfikacji ryzyka powinno być jego właściwe opisanie – właściwe czyli takie, które zagwarantuje, że jakikolwiek menedżer firmy czy zewnętrzny konsultant złapie w lot o jakie ryzyko chodzi – na podstawie samego opisu, bez konieczności jego tłumaczenia i objaśniania przez autora. Okazuje się, że dla większości menedżerów to bardzo trudne wyzwanie.
Do sporządzania takiego opisu może służyć trójelementowa tzw. „metoda X-Y-Z”: ryzyko X, spowodowane Y, skutkujące Z. Na przykład: (X) ryzyko przyśnięcia, (Y) spowodowane obfitym posiłkiem, (Z) skutkujące opadnięciem głowy na biurko i zbiciem okularów. Dlaczego opis jest tak istotny ? Gdyż determinuje natychmiast wartości prawdopodobieństwa i skutku, jakie przypiszemy temu ryzyku, oraz sposób reakcji na to ryzyko. Proszę porównać z nim kolejne, wydawałoby się podobne ryzyko: (X) ryzyko przyśnięcia, (Y) spowodowane obfitym posiłkiem, (Z) skutkujące zjechaniem na przeciwny pas drogi. Lub inny wariant: (X) ryzyko przyśnięcia, (Y) spowodowane poważnym przedawkowaniem środków uspokajających, (Z) skutkujące opadnięciem głowy na biurko i zbiciem okularów. W każdym z tych przypadków co najmniej jedna cecha ryzyka (skutek lub prawdopodobieństwo) zostaną ocenione inaczej, a w każdym z nich inaczej próbowalibyśmy radzić sobie z takim ryzykiem.
Miary apetytu na ryzyko
Po tym jak menedżerowie ustalą, jakie jest np. 50 niepokojących ich ryzyk, przystępują do ich tzw. oszacowania, czy „kwantyfikacji” – jak sam lubię tę czynność nazywać. Pomoże im w tym scharakteryzowanie tych ryzyk przy użyciu dwóch parametrów: maksymalnego realnego skutku realizacji zagrożenia oraz prawdopodobieństwa realizacji zagrożenia. Biorąc pod uwagę skrajnie odmienne typy ryzyk (np. awaria linii produkcyjnej, śmierć CEO), najrozsądniej zacząć od uzgodnienia wspólnych kryteriów kwantyfikowania tych parametrów. Dlatego zanim zacznie się mierzyć materię tak ulotną i niemierzalną jak ryzyko, powinno się skonstruować miary ryzyk.
W tym miejscu wypada uchylić nakrycie głowy przed każdym risk managerem, który z powodzeniem zaprojektował miary ryzyk sprawdzające się w jego firmie. Jest to zadanie wymagające niezwykle głębokiej znajomości firmy (wspomnianych celów biznesowych, oczekiwań interesariuszy i zasadniczych procesów biznesowych); bardzo jasnej świadomości celu, jaki menedżer ryzyka chce osiągnąć w ciągu 2-5 lat; gruntownej wiedzy menedżerskiej oraz – po prostu – inteligencji i błyskotliwości. Niestety wytrych w postaci zaangażowania do wykonania tego zadania zewnętrznych konsultantów nie jest wcale gwarancją wysokiej jakości i adekwatności miar.
Wypracowanie miar (skal skutku i prawdopodobieństwa) jest związane ściśle z ustaleniem poziomu tzw. apetytu firmy na ryzyko – a może być on zróżnicowany w poszczególnych obszarach działalności firmy. Starając się w tym miejscu mocno powstrzymać pióro (na ten temat każdy risk manager mógłby non-stop mówić kilka godzin, pozostawiając i tak uczucie niedosytu i niedopowiedzenia) należy jedynie stwierdzić, że:
nie ma jednego uniwersalnego sposobu mierzenia ryzyk;
każda firma może, czy wręcz powinna, robić to inaczej – po swojemu;
skutek można mierzyć w odniesieniu do wielu bardzo odległych od siebie kryteriów i kategorii, można miary łączyć czy stosować je równolegle.
Aby zarządzanie ryzykiem nie było postrzegane jako czarnoksięstwo, posłużę się dwoma wyrywkowymi przykładami liczbowymi. Pierwszy dotyczy ustalenia apetytu (tolerancji) na ryzyko, który jest tożsamy ze zdefinowaniem najwyższego dopuszczalnego jeszcze progu na skali skutku – powyżej tej kwoty mówimy o skutku „katastrofalnym” lub o zniszczeniu, anihilacji firmy. Większość znanych metod „naukowo-finansowych” bazuje na koszyku wskaźników finansowych przedsiębiorstwa – przykładowy koszyk (wg. R.J. Hansmana) analizuje najważniejsze parametry i przykłada do nich wagi. Oczywiście w zależności od struktury majątku i cash flow firmy (tj. jej branży i profilu) metoda będzie mniej lub bardziej trafna.
(…)
Osobiście polecam sposób bardziej „na nosa”, niezależny od charakteru firmy: proszę zadać pytanie dyrektorowi finansowemu, jaką największą kwotę jednorazowej straty jest firma w stanie samodzielnie sfinansować nie znikając z rynku? Można przedstawić następujący scenariusz: spalenie fabryki wraz z linią produkcyjną; ubezpieczyciel dopatruje się niedociągnięć i na tej podstawie odmawia wypłaty jakiegokolwiek odszkodowania; wszystkie współpracujące z firmą banki ze względu na niepewną przyszłość firmy odmawiają udzielenia nawet krótkoterminowego kredytu. Firma przestaje mieć przyjaciół, natomiast ma coraz więcej wrogów – jest zdana sama na siebie. Ile wytrzyma?
Drugi przykład, to skala skutku wykorzystywana przez jedną z firm w Australii (…): proszę zauważyć, że oprócz wartości w pieniądzu pojawia się wartość niematerialna: czas, jakość, reputacja, zdrowie i bezpieczeństwo. Nie są to przypadki odosobnione – nawet w bardzo komercyjnych i „technicznych” korporacjach. Lockheed np. mierzy skutek głównie w odniesieniu do zdrowia publicznego, zagrożenia środowiska naturalnego, bezpieczeństwa pracowników, na ostatnim miejscu stawiając tzw „efektywność kosztową”.
Zgodnie z wolą „sponsorów”
Sama kwantyfikacja jest już czynnością prostszą – zdroworozsądkową. Powinna być poparta twardymi danymi i faktami – nie zaś przeczuciami czy wyobrażeniami menedżerów. Skutek powinien przedstawiać konsekwencje najgorszego z realnie możliwych scenariuszy. Punktem odniesienia może być analiza historycznych incydentów w firmie, wśród partnerów i konkurentów, w podobnych branżach. Najtrudniejszą częścią tego zadania jest przełożenie strat niewyrażalnych w pieniądzu na wartości wymierne. Ile istnień ludzkich przekłada się na miliony? Ile złototych jest warta nasza reputacja? Iloletni zysk jest równoważny dziesięciu procentom udziału w rynku? Jak bardzo utrata CEO zaważy na wyniku finansowym firmy?
Należy przywołać wypracowane wcześniej miary ryzyka, których jakość będzie determinowała jakość i wartość zarządczą całego procesu (modelu) zarządzania ryzykiem. Prawdopodobieństwo – niezależnie czy ustalane w punktach czy jako procent – zależy nie tylko od charakteru samego zagrożenia jako zjawiska (np. powódź, defraudacja), ale i otoczenia w jakim funkcjonuje przedsiębiorstwo, definiowanego przez np. kulturę zarządzania, wielkość i stopień złożoności firmy, czynnik ludzki, warunki makroekonomiczne i polityczne. I drugi element odróżniający standard australijski od brytyjskiego (w którym tego elementu brak) – ocenę skutku należy uzależnić od istniejących środków kontroli ryzyka – tj. od ich obecności i skuteczności.
Również i na tym etapie nieocenione są warsztaty, burze mózgów czy metoda delficka. Oszacowanie (zmierzenie) oraz uzasadnienie powinny być utrwalone, zarejestrowane – aby podlegać ocenie i późniejszym audytom, a także ułatwiać wracanie do oceny tego ryzyka po dłuższym czasie. Taki wymóg wywołuje niekiedy skrajne reakcje wśród zarządzających: podczas jednej z sesji, dyrektor zarządzający spółki, w której odbywał się pierwszy taki warsztat, poczuł iż jego autorytet jest zagrożony (po 25 latach zarządzania przez niego firmą ktoś po raz pierwszy żądał od niego uzasadnienia jego oceny – to prawie jakby podawał ją w wątpliwość!). Po około 2-3 godzinach przysłuchiwania się, jak pod przewodnictwem konsultanta niżsi rangą menedżerowie „poza nim” dokonują oceny spraw istotnych dla spółki, puściły mu nerwy – nagle wstał i wybuchnął, podnosząc głos na konsultanta, kwestionując sens wprowadzania systemu zarządzania ryzykiem w ogóle. W takich właśnie chwilach konfrontacji, konsultant (lub risk manager) powinien móc ze spokojem i mocą powiedzieć: „osobistym życzeniem właściciela (rady nadzorczej) firmy, którą pan prowadzi, jest aby zarządzanie ryzykiem odbywało się właśnie w ten sposób”. Pozostaje wtedy tylko zgrzytanie zębami – i o to właśnie chodzi we właściwym umocowaniu i „sponsorowaniu” zarządzania ryzykiem przez rady nadzorcze i zarządy.
Wspominanie o konieczności opierania się na twardych danych i faktach może niepokoić – lecz niepotrzebnie, gdyż nie jest tu wymagana duża dokładność – oszacowanie ma ograniczyć się do wpisania danego zdarzenia lub zjawiska w „widełki”, a przedziały wartości mogą być bardzo duże. Przykładowo: przedziały dla skutku są zwykle odcinane kolejnymi wartościami na skali pseudo-logarytmicznej (np. 100 tys., 1 mln, 10 mln …).
(…)