Blog

Niczego nie możemy być pewni. Liniowy model upływu czasu – jedyny naturalny dla większości osób, z jasno zaznaczoną przeszłością, teraźniejszością i przyszłością – każe nam postrzegać nadchodzące wydarzenia w kategoriach niewiadomych. Każdy aspekt działalności ludzkiej wiąże się z niepewnością rezultatów naszych działań. Każdy aspekt, a więc również, a nawet przede wszystkim, działalność biznesowa.

 

Ryzyko definiowane jest często jako miara niepewności w wymiarze prawdopodobieństwa i skutków zdarzeń. W pewnym sensie jest to narzędzie, które pozwala nam zmierzyć się z nieokreśloną przyszłością. Mówiąc o wysokim ryzyku, nawet w języku potocznym, mamy na myśli przede wszystkim zdarzenia bardzo prawdopodobne lub niosące ze sobą poważne konsekwencje, zarówno pozytywne jak i negatywne. Z kolei system zarządzania ryzykiem (ang. Enterprise Risk Management – ERM) jest sposobem na okiełznanie niepewności i wynikającego z niej ryzyka.

Błoga nieświadomość

Skoro ryzyko jest wpisane w prowadzenie biznesu, możemy założyć, że podobnie będzie z zarządzaniem nim. Często spotyka się opinie, że ryzykiem zarządza się zawsze, tylko niekoniecznie w sposób świadomy. Podejmując decyzje zazwyczaj myślimy o ich konsekwencjach, czasami nawet rozważając różne scenariusze, a stąd już tylko krok do określenia ich prawdopodobieństwa i skutków. Nawet jeśli nie robimy tego w sposób uporządkowany, często próbujemy minimalizować niepożądane konsekwencje stosując nieświadomie klasyczne w zarządzaniu ryzykiem strategie akceptacji, minimalizacji, unikania lub przeniesienia ryzyka.

Jedno z bardziej znanych powiedzeń w teorii zarządzania mówi, że nie można zarządzać czymś, czego się nie mierzy1. Zarządzanie biznesem w sposób intuicyjny niesie ze sobą duże – nomen omen – ryzyko niepowodzenia. Jest kilka problemów wynikających z zarządzania ryzykiem w sposób doraźny. Przede wszystkim rezultaty takiego postępowania są niekompletne i zmienne. Bez systematycznego podejścia nie możemy być pewni, czy w naszym rozumowaniu uwzględniliśmy wszystkie zagrożenia. Mamy naturalną, ludzką tendencję do wyolbrzymiania zjawisk „atrakcyjnych medialnie”, nawet jeśli mają one marginalne znaczenie w naszej działalności. Bez ram formalnych jesteśmy skłonni to samo wydarzenie oceniać odmiennie w zależności od jego „świeżości”, sposobu i treści przekazu, a także czasu, jaki upłynął między samym zdarzeniem a jego oceną.

Kto musi?

W dzisiejszych czasach praktycznie wszyscy uczestnicy życia publicznego i gospodarki, w tym różnej wielkości organizacje, jednostki administracji publicznej czy też prywatne osoby, muszą na co dzień stawiać czoła najróżniejszym i coraz bardziej złożonym zagrożeniom. W przypadku przedsiębiorstw dochodzą do tego wymagania dotyczące konieczności efektywnego zarządzania ryzykiem stawiane przez zainteresowane strony (ang. stakeholders). Chodzi tu przede wszystkim o ich udziałowców i właścicieli, kluczowych kontrahentów, ale też organy Państwa, które na podstawie obowiązujących przepisów prawa wymagają od przedsiębiorców działających w wybranych branżach wdrożenia praktycznych rozwiązań w zakresie zarządzania poszczególnymi grupami ryzyk. Jako przykład można tu podać firmy działające w branży finansowej (banki, domy maklerskie, etc.), czy też spółki notowane na giełdach papierów wartościowych. Innym przykładem są przedsiębiorstwa, które zostały wskazane jako właściciele krytycznej – z punktu widzenia obronności lub bezpieczeństwa Państwa – infrastruktury. Dotyczy to m.in. firm z branży telekomunikacyjnej, energetycznej, etc.

Niestety – jak dowodzi praktyka i co potwierdzają eksperci zajmujący się doradztwem w zakresie zarządzania ryzykiem – nadal w dużej liczbie przedsiębiorstw (nawet działających w obszarze finansów) wdrożone rozwiązania są zbiorem życzeń, martwych zapisów, procedur, polityk dostarczanych organom nadzoru i innym odbiorcom, jako jedyny dowód na ich istnienie. Alternatywą jest sytuacja, kiedy w organizacjach rozwiązania w zakresie zarzadzania ryzykiem są wbudowane w system zarządzania organizacją, ale stanowią tylko „kolejny problem” w codziennej pracy kadry zarządzającej i nikt nie pamięta o realizacji zadań, a tym bardziej o konieczności testowania rozwiązań, podnoszenia świadomości w ich zakresie, czy też doskonalenia.

Przykłady? Niestety widoczne

Niemal codziennie dowiadujemy się o wydarzeniach potwierdzających brak stosowania przez różne organizacje jakichkolwiek praktyk w zakresie zarządzania ryzykiem. Okazuje się czasem, że jeśli jakaś organizacja posiada procedury w tym zakresie, to ich nie wykorzystuje w ogóle lub środki kontroli nie są testowane, przez co albo nie działają w ogóle, albo są nieefektywne. Jednym z przykładów jest obszernie omawiany w mediach, opóźniający się w związku ze złą jakością produktu odbiór istotnego odcinka drogi ekspresowej. Inwestor tłumaczył, że stosował środki kontroli w postaci podnajęcia innej spółki, która miała dokonywać odbiorów technicznych poszczególnych odcinków inwestycji. Czy był to jednak środek adekwatny do występującego ryzyka?

W samej branży finansowej również nie brakuje negatywnych przykładów zarządzania ryzykiem. Kryzys zapoczątkowany upadkiem banku Lehman Brothers w 2008 roku obnażył wszystkie niedoskonałości istniejących rozwiązań. W Polsce w tym samym czasie wiele firm otarło się o bankructwo w wyniku tzw. „afery opcyjnej”2. Kilka dużych przedsiębiorstw zbankrutowało.

Zastanawiające są również przypadki firm działających w specyficznych branżach, które pomimo tego, że realizują usługi wymagające wysokiej dostępności, nie wykorzystują nawet podstawowych metod postępowania z ryzykiem, nie mówiąc już o bardziej kompleksowych rozwiązaniach w zakresie zarządzania ciągłością działania. Czy Zarządy tych spółek mają aż tak wysoki apetyt na ryzyko3 i świadomie nie chcą ponosić kosztów związanych z zarządzaniem ryzykiem, myśląc że przecież nigdy i tak nic złego się nie wydarzy? A może zwyczajnie nie są świadome problemu?

Z kolei przykładem na zdrowe i świadome podejście do zarządzania ryzykiem jest informacja od jednego z przewoźników o zawieszeniu połączeń promowych na Bałtyku na kolejne trzy dni w związku z bardzo złymi warunkami pogodowymi. Decyzja została podjęta pomimo tego, że ich jednostki są przystosowane do pływania po morzach w dużo trudniejszych warunkach.

Po co to wszystko?

Świadome i systematyczne zarządzanie ryzykiem pozwala uniknąć lub zminimalizować skalę problemów. Nawet jeśli nie wyeliminuje ich całkowicie, pozwala znacząco zwiększyć szanse sukcesu przedsięwzięcia. Niestety trudność tkwi w pokazaniu wartości systemu zarządzania ryzykiem, nie wspominając o wyliczeniu „magicznego” ROI. Najprostszym sposobem na wykazanie korzyści wdrożenia ERM byłoby precyzyjne policzenie strat, których firma uniknęłaby dzięki możliwości wcześniejszego dostrzeżenia zagrożeń – jest to jednak z wiadomych powodów niewykonalne.

Zaletami wdrożenia ERM są: efektywne planowanie (zarówno na poziomie strategicznym, jak i operacyjnym), świadome podejmowanie ryzyka związanego z prowadzoną działalnością biznesową, znaczące zwiększenie pewności przy podejmowaniu decyzji i osiąganiu celów, większe zaufanie udziałowców, zwiększona odporność organizacji na negatywne wewnętrzne i zewnętrzne zdarzenia, efektywne zarządzanie sytuacjami kryzysowymi i minimalizacja wynikających z nich strat finansowych, planowanie z wyprzedzeniem, pozwalające unikać niespodzianek, dowód na sformalizowane podejście w procesie podejmowania decyzji, zgodność z przepisami prawa.

Co więcej, dobry program ERM daje wytyczne, jak organizacja powinna radzić sobie z niepewnością, ale również szansami. Dzięki temu staje się nie tylko narzędziem jej „bezpieczeństwa”, ale również rozwoju. Firmy, które mają za sobą wdrożenie i kilkuletnie wykorzystanie systemu zarządzania ryzykiem, potwierdzają, że warto podjąć ten trud i zacząć świadomie myśleć o przyszłości.

Przeglądając w Internecie różne opracowania nt. zarządzania ryzykiem, natknęliśmy się już jakiś czas temu m.in. na raport przygotowany przez firmę AON – ‘Global Enterprise Risk Management Survey 2010’. Można się w nim zapoznać się z wynikami badań dotyczących poziomu wiedzy i zakresu wdrożenia ERM w organizacjach działających na świecie. Na marginesie szkoda, że trudno znaleźć podobne kompleksowe opracowanie z informacjami nt. polskiego rynku. Praktycznie niemożliwe jest znalezienie firmy, która zechciałaby się pochwalić dobrze wdrożonym – a wiemy, że są takie – programem zarządzania ryzykiem. Interesujące są opisane w tym dokumencie studia przypadków kilku firm z takich branż, jak przemysł farmaceutyczny i chemiczny, produkcja oraz energetyka, w których omówiono ich doświadczenia, a także komentarze na temat korzyści, które osiągnęły w wyniku wdrożenia ERM. Dwie firmy: Eli Lilly oraz Pirelli wykorzystują ERM do modelowania i optymalizacji procesu produkcji i dystrybucji, w celu ochrony wypracowanego przez wiele lat dobrego wizerunku. Firma Origin Energy wykorzystuje ERM w celu umocnienia swojej pozycji na rynku i na potrzeby zwiększenia pewności inwestorów, a także wartości Spółki w bardzo zmiennym otoczeniu branży przemysłowej. Z kolei firma Phoenix Park Gas Processors stara się osiągnąć pozycję numer jeden w branży dzięki dostosowaniu ERM do wdrożonych w Spółce procesów związanymi z bezpieczeństwem. Wszystko to ma prowadzić do wspólnej platformy, która będzie wspierać zarządzanie ryzykiem korporacyjnym. Firma AZ Electronic Materials chce być postrzegana jako ta, która zarządza bardzo sprawnie łańcuchem dostaw i potrafi szybko poradzić sobie z różnymi niekorzystnymi zdarzeniami operacyjnymi, zarówno zewnętrznymi, jak i wewnętrznymi. Natomiast firma Clariant Chemicals może pochwalić się wdrożeniem zasad dotyczących rozliczania i jasnego podziału zadań związanych z zarządzaniem ryzykiem. Autor raportu zaznacza, że chociaż każda za powyższych organizacji napotykała na liczne przeszkody w trakcie wdrożeń ERM, to wszystkie mogą poszczycić się tym, że cały czas pracują nad rozwojem swoich programów zarządzania ryzykiem i dostosowaniem do ciągle zmieniających się wymagań biznesowych. Każda z nich reprezentuje bardzo różne podejście do zaawansowanego zarządzania ryzykiem przedsiębiorstwa. Jako podsumowanie można przedstawić obszary, dla których dobrze działający ERM przyniósł największe korzyści.

AZ ELECTRONIC MATERIALS – dla której rozwój kultury ERM w wymiarze globalnym wpłynął na pewność i zaufanie klientów. Wyniki: zarządzanie kontrolą jakości oraz pewność i lojalność klientów.

CLARIANT INTERNATIONAL – która wykorzystała ERM, jako narzędzie do mierzenia wydajności oraz rozliczania. Wynik: wyznaczone cele i punkty odniesienia (wzorce) na potrzeby przejrzystości procesu decyzyjnego oraz wyraźna zmiana kultury organizacyjnej Spółki dzięki rozliczaniu działań do poziomu poszczególnych pracowników.

ELI LILLY – wiodąca pozycja na rynku, w wyniku modelowania dzięki ERM procesu łańcucha dostaw. Wyniki: możliwość szczegółowej oceny opinii klientów nt. usług Spółki, zarządzanie ryzykiem w zakresie poszczególnych kanałów łańcucha dostaw.

ORIGIN ENERGY – przełożenie dobrze działającego systemu zarządzania ryzkiem na pewność inwestorów. Wyniki: potwierdzenie wartości aktywów w bardzo zmiennym otoczeniu ekonomicznym, w pełni wdrożona kultura zarzadzania ryzykiem.

PHOENIX PARK GAS PROCESSORS LTD – powiązanie bezpieczeństwa z zarządzaniem ryzykiem, w celu osiągnięcia branżowej doskonałości. Wyniki: duża świadomość w zakresie zarządzania ryzykiem do poziomu poszczególnych pracowników, pełna analiza ryzyk w trakcie cyklu życia programu w każdej jednostce organizacyjnej.

PIRELLI GROUP – wykorzystanie ERM do zarządzania reputacją wynikającą z tradycji Spółki i promowania wartości dla jej udziałowców. Wyniki: plany działania mające zabezpieczyć Spółkę przed spadkiem produkcji oraz wdrożenie ERM jako stylu życia i zarządzania w organizacji.

Omówione powyżej przykłady potwierdzają, że wdrożenie ERM w organizacji jest bardzo złożonym procesem. Jest to żmudna praca polegająca na dogłębnym poznaniu organizacji, jej celów, strategii, otoczenia, zaplecza. Wymaga dostosowania do jej specyfiki odpowiednich rozwiązań w zakresie zarzadzania ryzykiem, a następnie wpojeniu pracownikom na każdym szczeblu organizacji, zasad zarządzania ryzykiem oraz ich obowiązków. Z drugiej strony, na podstawie przytoczonych w tym artykule przykładów, zarysowana została również lista niewątpliwych korzyści, wynikających z wdrożenia ERM, które powoli zyskują realną wartość. Warto przytoczyć tu na koniec opinię chyba wszystkich osób zajmujących się zawodowo ryzykiem, że bez pełnego zaangażowania Zarządów i pozostałych pracowników organizacji, nie ma co marzyć o sukcesie we wdrożeniu ERM. Powiem więcej, nie ma w ogóle sensu przystępować do tego typu projektu. Ale jak powiedział Kevin W. Knight,4 ‘Nie musisz zarządzać ryzykiem, przetrwanie nie jest obowiązkowe!’

1 „If you can’t measure it, you can’t manage it”, stwierdzenie najczęściej przypisywane Peterowi Druckerowi

2 http://pl.wikipedia.org/wiki/Opcja_walutowa#Opcje_walutowe_a_kryzys_2008-2009

3 Ang. Risk apetite – zdolność organizacji do zaakceptowania określonego poziomu ryzyka (Polrisk)

4 Kevin W. Knight – Znany z aktywnych działań na polu wdrożeń standardów zarządzania ryzykiem. W ramach International Organisation for Standardisation (ISO) współtworzył grupę roboczą, która wypracowała ISO/IEC Guide 73:2002 – RM Terminology i przewodniczył- również w ramach ISO zespołowi, który opracował ISO 31000:2009 Risk Management Standard oraz poprawkę ISO Guide 73:2009. Dzięki swojej pracy na rzecz międzynarodowych standardów wymieniony przez US Treasury & Risk’s Magazine w 2008 na liście 100 najbardziej wpływowych ludzi w świecie finansów.