Ryzyko zaniedbań

Ryzyko wydaje się wpisane w prowadzenie biznesu. Co zatem oznacza stwierdzenie, że można nim zarządzać? Rozmowa o przewadze „holistycznych” systemów risk management nad rozwiązaniami „silosowymi” oraz o sposobach ich skutecznej implementacji w firmach.

Z Rafałem Rudnickim rozmawia Tomasz Gregorczyk

Rafał Rudnicki

Niezależny konsultant zarządzania ryzykiem gospodarczym. Laureat głównej nagrody StrategicRISK European Risk Management Awards 2008 w kategorii „Enterprise-wide Risk Programme of the Year” (za najlepszy program zarządzania ryzykiem w Europie w 2008 r.). Wyróżniony jako jeden z trzech najlepszych europejskich menedżerów ryzyka w 2008 r. – „European Risk Manager of the Year”. Założyciel i długoletni prezes Polskiego Stowarzyszenia Zarządzania Ryzykiem Polrisk. W latach 2007–2008 Członek Zarządu FERMA (Federacji Europejskich Stowarzyszeń Zarządzania Ryzykiem), członek AIRMIC (brytyjskiego Stowarzyszenia Menedżerów Ryzyka i Ubezpieczeń). Przez 5 lat pełnił funkcję group risk managera w międzynarodowej grupie logistycznej, gdzie zbudował system zarządzania ryzykiem i wprowadził go w kilkunastu spółkach Grupy w dziewięciu krajach europejskich. Jako „Marine and Logistics Practice Leader” działa w grupie brokerskiej MAI.

Ryzyko zaniedbań
Tomasz GregorczykTomasz Gregorczyk

Wiele różnych środowisk biznesowych rozmaicie rozumie pojęcie zarządzania ryzykiem. Szczególnie wyraźnie pokazują to komentarze ekspertów i osób zarządzających, dotyczące ostatniego kryzysu finansowego. Większość instytucji, które poległy na kryzysie, twierdzi, że miały wdrożone systemy zarządzania ryzykiem. Przeważająca liczba ekspertów holistycznego zarządzania ryzykiem (ze mną włącznie) twierdzi natomiast, że wspomniane instytucje nie miały wdrożonego tego rodzaju systemu. Nie oznacza to, że jedna ze stron kłamie – oznacza jedynie, że inaczej rozumiemy termin „zarządzanie ryzykiem”. Czym więc jest zarządzanie ryzykiem według Pana?

Rafał RudnickiRafał Rudnicki

W języku angielskim nazywa się je enterprise risk management (ERM), holistic risk management lub business risk management. Wszystkie te nazwy wskazują na to, że nie chodzi o zarządzanie jedynie grupami ryzyka pewnego typu: finansowego, IT czy bezpieczeństwa fizycznego, ale
o zarządzanie każdym typem ryzyka, jakie może zagrozić nadrzędnym celom firmy. Celem zarządzania ryzykiem jest doprowadzenie do takiego stanu zarządzania firmą, aby mogła ona z wyprzedzeniem zdiagnozować zagrożenia, jakie przed nią stoją, ale też i pojawiające się na horyzoncie szanse. Zagrożenia mają być z wyprzedzeniem eliminowane, a szanse wykorzystywane.

Nie są to działania spontaniczne, przeprowadzane na tak zwanego menedżerskiego nosa, ale prowadzone za pomocą całej machiny, która w sposób uporządkowany „omiata radarem” otoczenie firmy i pozwala na odpowiednią reakcję z wyprzedzeniem. Z tą machiną związane są działania kontrolne, procedury i – tu dwie wersje – albo osoby oddelegowane specjalnie do działań w ramach tej dziedziny, albo menedżerowie jedynie część swojego czasu i wysiłku intelektualnego poświęcający na zarządzanie ryzykiem.

Cała trudność polega na tym, aby ta machina harmonijnie współdziałała z tym, co się dzieje w firmie na co dzień, a nie tworzyła dodatkowego gorsetu biurokratycznego, jak to czasem bywa z kontrolingiem czy z działami ISO. To wielkie dodatkowe zagrożenie dla risk management – jeśli stanie się ono tylko narzuconym obowiązkiem lub, co gorsza, skostniałym i szczegółowym systemem określającym, jak należy postępować, skutki jego wprowadzenia mogą być opłakane. Po prostu menedżerowie przestaną myśleć, a zaczną działać według sztywno ustalonych reguł.

Tomasz Gregorczyk

Można zatem powiedzieć, że wiele firm ma systemy zarządzania ryzykiem, tyle że dotyczą one jedynie fragmentów ich działalności?

Rafał Rudnicki

Tak, nazywamy je „systemami silosowymi”. W firmach istnieje grupa ludzi od finansów, jest otoczenie IT, dział bezpieczeństwa fizycznego, są pracownicy marketingu zajmujący się na przykład ruchami konkurentów, jest też dział PR zajmujący się ryzykiem reputacyjnym. Wszystkie te grupy mają swoje postrzeganie ryzyka oraz swoją mniej lub bardziej intuicyjną listę i hierarchię jego rodzajów. Owe różne „listy ryzyk” są zupełnie nieporównywalne. Gdyby firmę było stać na zatrudnienie menedżerów bądź specjalistów do zajęcia się tylko jednym z rodzajów ryzyka, wybór byłby prawie niemożliwy – to trochę jak w porównywaniu jabłek z gruszkami albo bananami.

I tak: wypuszczenie na rynek produktu powodującego uszczerbki na zdrowiu konsumentów i zagrażającego reputacji firmy będzie największym ryzykiem dla ludzi zajmujących się public relations i wizerunkiem przedsiębiorstwa. Dla kogoś innego największym ryzykiem będzie możliwość wybuchu w hali produkcyjnej i zatrzymania produkcji na dwa miesiące. Dla finansistów najważniejsze może być ryzyko wahań kursowych i cen surowców. Wszyscy oceniają ryzyko na własną rękę i z własnej perspektywy. Ale bez znalezienia jakiegoś wspólnego mianownika trudno powiedzieć, które z tych zagrożeń jest najważniejsze.

Jednym z wyzwań korporacyjnego, holistycznego zarządzania ryzykiem jest właśnie znalezienie takiej infrastruktury metodologicznej, na tyle pojemnej i uniwersalnej, aby pozwalała zmierzyć na tej samej skali wszystkie ryzyka, jakie mogą pojawić się w firmie. I to nie tylko te, które są widoczne teraz, ale i takie, które mogą pojawić się w przyszłości – na przykład związane z nasileniem się globalizacji, zwiększeniem zależności od Internetu, epidemiami, polem magnetycznym i tak dalej.

Tomasz Gregorczyk

Czyli takie systemy mogą dosyć mocno wybiegać w przyszłość.

Rafał Rudnicki

Generalnie na tym polega zarządzanie ryzykiem. Niekiedy pozwalam sobie na dość złośliwe komentarze pod adresem tych firm, które mówią teraz: „O! Skoro mamy kryzys finansowy, trzeba wprowadzić u nas zarządzanie ryzykiem”. Odpowiadam, że teraz jest już po wszystkim, a jedyne, co można zrobić, to wprowadzić zarządzanie kryzysem, a nie ryzykiem. Risk management trzeba było wprowadzić trzy do pięciu lat temu i dziś przynosiłoby to efekty. Firmy, w których takie systemy by wprowadzono, prawdopodobnie ucierpiałyby mniej niż dziś przeciętne przedsiębiorstwo.

Tomasz Gregorczyk

Faktycznie są dowody na to, że firmy z holistycznym zarządzaniem ryzykiem przechodzą przez dzisiejszy kryzys nieco łagodniej?

Rafał Rudnicki

Jeszcze chyba nikt nie zrobił takiego badania. W sytuacjach globalnych nie istnieją zresztą całkowicie „wodoodporne” firmy. Ale widać dobrze tę prawidłowość na rynku firm ubezpieczeniowych. Niektóre z nich były uzależnione od toksycznych aktywów i instrumentów finansowych, bo był to bardzo dochodowy biznes – jednak bardzo ryzykowny i uzależniony od koniunktury. Firmy, które patrzyły na sprawę krótkoterminowo, jak AIG, mocno się na tym sparzyły (po prostu zbankrutowałyby, gdyby nie przejęło ich państwo).

Inne firmy nie angażowały się w te operacje aż tak bardzo. Gdyby więc popatrzeć na to, jak spadają wyniki przedsiębiorstw reasekuracyjnych – rozbieżności sięgają od dwóch lub trzech aż do dwudziestu procent. To pokazuje, jak różnie reagują firmy w takiej samej sytuacji rynkowej.

Tomasz Gregorczyk

Jaką popularnością cieszą się systemy holistycznego zarządzania ryzykiem?

Rafał Rudnicki

Na świecie wdraża się je już od kilkunastu lat. Centrami intelektualnymi są w tej dziedzinie Wielka Brytania, Australia i Nowa Zelandia, USA i po trosze Kanada. Wyniki badań wskazują jednak na to, że w praktyce Europa wyprzedziła Amerykę, jeśli chodzi o dojrzałość myślenia ERM. Co ciekawe, w Australii i Nowej Zelandii wydano kilka lat temu wspólny standard zarządzania ryzykiem. Na jego podstawie zamyka się w tej chwili standard ISO 31000, który będzie normą światową. Opierając się na nim, można będzie wprowadzić risk management w najnowocześniejszej formule.

Zresztą pracom nad wprowadzeniem standardu ISO towarzyszyło mnóstwo gorących dyskusji w gronie członków FERMA (Europejskiej Federacji Zarządzania Ryzykiem). Jedni twierdzili, że absolutnie nie wolno wprowadzać standardu, inni z kolei, że jest to konieczne, bo inaczej firmy w ogóle nie będą myślały o zarządzaniu ryzykiem. Okazało się, że budowa standardu postępowała mimo protestów środowisk europejskich (np. FERMA) i ma być on ogłoszony
w przyszłym roku.

Tomasz Gregorczyk

A jak do problemu ryzyka w biznesie podchodzi się w Polsce?

Rafał Rudnicki

Pierwsze nieśmiałe wypowiedzi pojawiły się na stronie internetowej ryzyko.pl, prowadzonej kiedyś przez Marcina Brodę. Ja starałem mówić się o tym jak najwięcej od przełomu lat 2003 i 2004. Niestety, niewiele osób wiedziało w ogóle o czym mowa aż do roku 2006, kiedy przy wsparciu federacji FERMA doprowadziliśmy do powstania Stowarzyszenia Zarządzania Ryzykiem w Polsce. Od tego momentu zaczęło pojawiać się coraz więcej publikacji i konferencji.

Firm, w których wprowadzono nowoczesne i dojrzałe zarządzanie ryzykiem, niestety ciągle jest niewiele. A już rzadkością na świecie są firmy, w których tego typu system istnieje dłużej niż pięć lat. Nie sądzę, żeby w którejkolwiek polskiej firmie funkcjonował system enterprise risk management ­w dojrzałym stadium. Jego wprowadzenie wymaga bowiem zmian w samym sposobie zarządzania, przeszkolenia ludzi i dopasowania się managementu do niego. Jest to proces trudny i trwa dosyć długo.

Przy założeniu, że firma ma dobrych doradców, samo przygotowanie jej do dyskutowania o zarządzaniu ryzykiem trwa około trzech miesięcy. Przygotowanie modelu wraz ze wszystkimi składnikami oraz przetestowanie go to minimum pół roku. Wprowadzenie systemu w życie trwa co najmniej 12-18 miesięcy. Wszystko razem daje około dwa i pół roku – od momentu pojawienia się w głowach członków zarządu myśli o wprowadzeniu systemu, aż do sprawozdania rocznego, w którym będzie można napisać, że firma zarządza ryzykiem i ma nad nim kontrolę.

Tomasz Gregorczyk

Jak najsprawniej przebrnąć przez ten proces wdrożeniowy? Jak uniknąć raf, których pewnie jest sporo – wspomniał Pan choćby o tym, że system może być biurokratycznym gorsetem krępującym firmę.

Rafał Rudnicki

Po pierwsze, zarząd musi być przekonany, że spółka tego rozwiązania potrzebuje. Jeśli ten warunek nie jest spełniony, osobiście w ogóle nie przymierzałbym się do wprowadzania takiego systemu w firmie.

Po drugie, wszystko w zarządzaniu ryzykiem – identyfikowanie rodzajów ryzyka, decydowanie o tym, które z nich są ważne dla firmy, a które nie, ustalanie tego, kto ma za nie odpowiadać – musi odbywać się w kontekście nadrzędnych celów firmy. Każde przedsiębiorstwo ma lub powinno mieć świadomość swoich nadrzędnych celów, które nie zawsze można sprowadzić tylko do maksymalizacji zysków. Zwykle są nimi inwestycje w technologie, zdobywanie nowych rynków, utrzymanie przy sobie kluczowych ludzi itp. Dla każdej firmy zestaw celów pośrednich prowadzących do celu podstawowego (czyli na przykład 17,5 proc. zysku w danym roku) powinien być punktem wyjścia w zarządzaniu ryzykiem. Jeżeli system, procedury i zasady zarządzania ryzykiem nie wynikają bezpośrednio z celów firmy, to prędzej czy później wszystko się rozleci.

Po trzecie, system powinien opierać się na menedżerach operacyjnych, czyli osobach, które de facto zarządzają firmą – kierują działami, pionami czy funkcjami. Muszą to być ludzie, którzy mają dostateczną wiedzę na temat przedsiębiorstwa, są upoważnieni do podejmowania decyzji (niekiedy trudnych) oraz mają na to budżet. Zarządzanie ryzykiem nie zadziała, oddane w firmie wyłącznie w ręce urzędników, którzy na co dzień przerzucają papiery i niewiele mogą zmienić.

Po czwarte wreszcie, części składowe systemu zarządzania ryzykiem – pewna struktura zarządcza i linie raportowania (kto raportuje do kogo w sprawach ryzyka), procedury i zasady, analityka oraz oprzyrządowanie teoretyczne i terminologiczne – powinny być możliwie proste. Gdy są zbyt skomplikowane i wymagają poświęcenia zbyt dużej ilości czasu i uwagi, mniej prawdopodobne jest, że kierownicy oderwą się od swoich normalnych obowiązków i wgryzą się w risk management, będą go rozumieć, akceptować i aktywnie w nim uczestniczyć.