Audyt to dzisiaj bardzo modne słowo, zagościło nawet na dobre na salonach politycznych, różnych audytorów w biznesie i u publicznych też nam nie brakuje inna sprawa, co w rzeczywistości robią, i kto te ich audyty czyta.

Twarze audytu

Ale nas w dzisiejszym odcinku ryzykonomii bardziej zainteresują relację pomiędzy dwoma tytułowymi funkcjami, przy czym o ile audytora spotkamy w rodzimych organizacjach powszechnie, to menadżera ryzyka już zupełnie nie. Oczywiście trzeba jeszcze dodać, że dobrze znana finansistom funkcja biegłego rewidenta, to nic innego niż zewnętrzny, nienależny audyt finansowy i w rzeczywistości poza granicami też się mówi o „audytorach” w przypadku biegłej rewizji ksiąg.

Sektor ubezpieczeniowy, a szerzej w ogóle sektor finansowy jest tu o tyle specyficzny, że z zasady w zakładach ubezpieczeniowych znajdziemy zarówno menadżerów ryzyka jak i audytorów. I pewnie jeszcze ekspertów od zgodności i różne inne specjalistyczne funkcje kontrolno-badawcze.

Menadżer ryzyka na L4

Jak to bywa w sektorach silnie regulowanych, jeżeli coś „ma być” to „jest”, Komisja Nadzoru Finansowego wymaga. Oczywiście same regulacje nigdy sprawy nie załatwiły i nie załatwią, i dowodów na to codziennie mamy mnóstwo, jeżeli nie w kraju to za granicą. Oto, na przykład właśnie dowiadujemy się o kolejnym finansowym przekręcie w Stanach, gdzie jak wielki bank Wells Fargo otwierał różne rachunki bez autoryzacji swoich klientów. No, nie takie rzeczy się w finansach zdarzały, ale już naprawdę dowcipną nowością jest, że menadżer ryzyka banku tuż przed przesłuchaniem przez komisję senacką audytującą bulwersujący temat poszedł na wielomiesięczne zwolnienie lekarskie, wziął sobie amerykańskie L4…

W rodzimym sektorze niefinansowym, choć badań jest bardzo mało, audytora znajdziemy w wielu spółkach giełdowych, z zasady w tych największych, ale już z menadżerami ryzyka bywa bardzo krucho. No, więc można zaryzykować, że istnieje tu pewien przechył na stronę audytu, który jako, że jest dzisiaj risk-based, oparty na ocenie ryzyka, jak się wydaje może być traktowany, jako swojego rodzaju „proteza” zarządzania ryzykiem. Bywa, że zarządzanie ryzykiem jest lokowane we wspólnym departamencie audytu wewnętrznego i, jak pokazywał ostatnio raport o sektorze zarządzania ryzykiem w Europie FERMA, nawet kilka procent europejskich menadżerów raportuje do szefów działu audytu.
Mogliby się tu nawet, co światlejsi audytorzy oburzyć, że przecież sam Instytut Audytorów Wewnętrznych (IIA) jasno pokazuje w swoim klasycznym diagramie „wachlarzu”, co może, a co nie może robić audytor w obszarze zarządzania ryzkiem. W zasadzie sugeruje zdecydowane oddzielenie tych dwóch funkcji.

Za chińskim murem

Oczywiste jest przecież, że audytor nie powinien sam siebie audytować, a tak by się stało gdyby zajął się zarządzaniem ryzykiem. Ale z drugiej strony „wersje kanoniczne” nie zawsze są jedyne najlepsze, bo chociażby w znanym na świecie modelowym success – story wdrożenia zarządzania ryzykiem (w kanadyjskim koncernie energetycznym Hydro One) funkcjonowały połączone departamenty zarządzania ryzykiem i audytu. Podzielone stosownymi chińskimi murami, dodajmy.

Tak czy inaczej, jak uczy doświadczenie audytor bywa często, szczególnie w sektorze niefinansowym jednym z ojców założycieli systemu zarządzania ryzykiem. Dobrze to i nie dobrze, bo zapomina się często, że „sylwetka”, cechy osobowe, doświadczenie zawodowe audytora i menadżera ryzyka są z natury rzeczy bardzo różne. I chyba powinny być, żeby każdy mógł dobrze wykonywać swoją funkcję. No, więc dobry audytor to chyba nie będzie dobry menadżer ryzyka i vice-versa, choć dowodów empirycznych na tak postawioną tezę przyznajemy, brak.

Pełna synergia

Co łączy audytora i menadżera ryzyka, to również niedola bycia „wtłoczonym” w powszechnie akceptowany sposób budowania odporności organizacji na zagrożenia zwany „modelem” trzech linii obrony. Jeżeli podejść do zagadnienia modelowo, to sugeruje i narzuca ono linearność funkcjonowania i oderwanie od siebie wielu różnych „odpornościowych” funkcji w organizacji. I bez względu na to, czy ktoś ten model dokładnie studiował czy nie, w wielu organizacjach tak się właśnie dzieje. Brakuje synergii między audytem, zarządzaniem ryzykiem, compliance, bezpieczeństwem IT i różnymi nowymi, wschodzącymi funkcjami zarządzania. W efekcie wiele ryzyka błąka się po organizacji niezarządzanych i niezaudytowanych, a specjaliści od zarządzania nawołują na puszczy do porzucenia „silosów organizacyjnych” i doskonalenia bardzo już przecież udoskonalonych systemów.