Pisanie profesjonalnego Bloga nie jest łatwe w dzisiejszych czasach, bo nie tylko człowiek musi znosić presję wdzięczności P.T. Czytelników za cotygodniowe dostarczanie cennej wiedzy o tak poszukiwanym nad Wisłą temacie, jakim jest zarządzanie ryzykiem biznesowym. Pisanie nie jest łatwe (też), bo od Czytelników ciągle wpływają do Naczelnego (tak, tego) monity i nieledwie skargi, że tego czy owego tematu jeszcze nie poruszyliśmy „a cała Dyrekcja Czytelnika czeka rozgrączkowana na praktyczne sugestie”… Czy „tamtego” paradygmatu nie nadgryźliśmy „a przecież obiecaliśmy”! I potem trzeba się tłumaczyć naszemu Naczelnemu na nudnych nasiadówkach redakcyjnych, ględzącemu, że: „bo przecież bycie Najważniejszym Blogiem o Zarządzaniu Ryzykiem w Polsce” i „bloga prawie w ogóle o zarządzaniu” – „zobowiązuje”… I tym podobnych smęceń. Ech !
No więc dawajmy z tymi paradygmatami ! Na widelec je!
No, właśnie niedawno na łamach naszej ulubionej Gazety Ubezpieczeniowej, która naprawdę serio popiera temat zarządzania ryzykiem, co aż tak częste nie jest ukazał się artykuł Waszego Ulubionego Redaktora na temat pewnego Ważnego Paradygmatu. Artykuł, którego główne tezy z pewnymi skrótami poniżej przytaczamy….
„Model trzech linii obrony” organizacji przed ryzykiem został spopularyzowany (choć autorstwa nie widzieć czyjego, zdaje się) przez IIA, Instytut Audytorów Wewnętrznych, , potężną organizację zrzeszającą 170 tysięcy audytorów wewnętrznych z całego świata. Model ten pokazuje jak organizacja powinna bronić się przed niepewnością. Jest też dowodem na to, że dobrze zapakowana i narysowana idea zawsze dobrze się sprzeda i łatwo zyskuje status paradygmatu, a więc powszechnie obowiązującego poglądu, z którym się już nie dyskutuje. A jednak…
Jak wiadomo Linie Obrony powinny być mniej więcej takie:
Linia obrony pierwsza. Tworzy ją „ogół” działań służących osiąganiu celów organizacji podejmowanych przez kierownictwo w ramach „zwykłego” zarządzania. Kolejnym filarem tej defensywy powinien być system kontroli wewnętrznej, popularny Internal control, na przykład według standardu COSO.
Druga linia obrony obejmuje „tradycyjną” kontrolę finansową, istniejące w organizacji systemy zarządzanie jakością, bezpieczeństwo IT, zgodność z regulacjami (compliance) i tak dalej. A przede wszystkim zarządzanie ryzykiem. Trzeba od razu zauważyć, że poszczególne elementy procesu zarządzania ryzykiem takie jak identyfikacja, analiza ryzyka, postępowanie z ryzykiem są wykorzystywane w ramach wszystkich wymienionych „linii obrony” organizacji. W tym sensie zarządzanie ryzykiem pełni rolę służebną wobec całego systemu Ładu Korporacyjnego nadając mu odporność (resilience) na ryzyko.
Trzecia linia obrony to audyt wewnętrzny, czyli „niezależna działalność doradcza i
weryfikująca, której celem jest usprawnienie operacyjne organizacji i wniesienie do niej wartości dodanej”.
Poza tymi „wewnętrznymi” 3 liniami obrony organizacji model wskazuje także, że z ryzykiem „walczą”: zewnętrzna rewizja finansowa i regulacje, system norm prawnych przeciwdziałających lepiej lub gorzej (a czasami bardzo źle) ryzyku. Zresztą na świecie mówi się dziś „risk regulation”.
Brzmi nieźle, jak każdy paradygmat. I dlatego model ten zobaczy Czytelnik w tysiącach podręczników i prezentacji powtarzanych na konferencjach i szkoleniach na temat audyty, kontroli wewnętrznej, compliance, ERM-u. Na całym świecie. Ale, czy aby na pewno w ten sposób walka z ryzykiem powinna „dziać się” w firmie?
Zarzutów różnego kalibru wobec tej miliony razy powtarzanej militarnej koncepcji można wytoczyć
kilka. Choćby jej linearność. Bo model „graficznie” implikuje, że ryzykiem zarządza się w niezależnych linach obrony, a zwykle dzieje się to (powinno się dziać!) równolegle, jednocześnie.
Inny, niebezpieczniejszy wydźwięk paradygmatu, to sugestia oddzielania „specjalistycznej” funkcji zarządzania ryzykiem od „zwykłych” funkcji zarządczych. A przecież ERM „zintegrowany” oznacza zintegrowany z zarządzaniem na wszystkich „liniach”. To samo dotyczy zresztą innych wymienianych funkcji 2-ej linii, choćby compliance.
Model sugeruje również, że organizacja zarządza ryzykiem w sposób reaktywny a nie proaktywny, czekając w okopach na zagrożenia, zwalcza je w kolejnych transzejach. O słabości takiego, w istocie „samobójczego” podejścia do zarządzania ryzykiem nie trzeba się chyba rozpisywać.
A skoro o „liniach obrony” i obronie przed ryzykiem mowa, to gdzie jest istota zarządzania ryzykiem jako „sposób osiagania celów organizacji”. Która armia wygrała wojnę siedząc w okopach ? A co z szansami, „risk taking” ?
No i wreszcie, choć to sam wspomniany IIA promuje model: audyt wewnętrzny nie powinien „bronić” przed ryzykiem. To nie jego funkcja jak sami audytorzy gdzie indziej deklarują. Audyt powinien dostarczać „zapewnienia” (assurance), że wszystkie funkcje organizacji takie jak kontrola zarządu, kontrola wewnętrzna, ryzyko, cybersecurity działają w sposób zapewniający osiąganie celów. A to coś zgoła innego niż „bronienie”.
I wreszcie, co gorsza w modelu nie ma nic o sprawie najważniejszej, o kulturze zarządzania ryzykiem. Także, choć tu i ówdzie zaczyna się podważać model linii obrony wciąż funkcjonuje on jako prawda objawiona. Czy to, aby nie kolejna linia Maginota?
Jakie jest wasze zdanie ?
ps.
A już w kolejnym artykule na Ryzykonomii, pokażemy jak model linni obrony powinien – naszym zdaniem – działać. Czekajcie i czytajcie !