Trzy linie … ale czego?
Czy zmiana nazwy powszechnie przyjętego mechanizmu zarządzania ryzykiem poprawi sytuację?
- Czy zamiana "Trzech Linii Obrony" na "Trzy Linie" i 3 rodzaje ról pomoże organizacjom skuteczniej zarządzać ryzykiem? Można mieć co do tego spore wątpliwości
Niniejszy wpis stanowi uzupełnienie – komentarz do zmian modelu Trzech Linii Obrony (3LOD) opisanych w artykule „„Obrona” się nie sprawdziła”.
Czy te zmiany wpłyną pozytywnie na skuteczność zarządzania ryzykiem w podmiotach gospodarczych a także w instytucjach i jednostkach administracji publicznej? Czy to tylko makijaż, który zapewnia organizacjom dobre samopoczucie i ułatwia sporządzanie sprawozdań i raportów dostarczając „wsadu” o strukturze zarządzania ryzykiem?
Popatrzmy najpierw na …
Kilka przykładów
| Firma z sektora paliwowego
| Firma produkcyjna #1
| Firma produkcyjna #2
| Firma z sektora IT
Nie jest trudno zauważyć, że firmy mniej lub bardziej odmiennie interpretują Model 3LOD przypisując w różny sposób i w różnym zakresie odpowiedzialność za zarządzanie ryzykiem funkcjom i rolom ulokowanym w poszczególnych liniach obrony. O ile w przypadku III linii Obrony panuje zgoda co do tego, że jest to pole do popisu jednostek audytu wewnętrznego o tyle w przypadku pozostałych Linii (I i II) zakres odpowiedzialności nieco się różni.
I jeszcze jedno, w powyższych przypadkach brak jest wskazania miejsca zarządów spółek – tak jakby zarządy wyłączone były ze wspólnego dzieła jakim jest zarządzanie (dobrze, obrona przed) ryzykiem.
Firmy podkreślają swoją odrębność i starają się wyróżnić. A jednocześnie zmuszane są lub ochoczo i bez refleksji akumulują ogólne rozwiązania.
Tak się szczęśliwie złożyło, że w lecie bieżącego roku, Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem (Federation of European Risk Management Associations) opublikowała wyniki badania ankietowego przeprowadzonego wśród osób zawodowo zajmujących się ryzykiem a zatytułowany „FERMA European Risk Manager Report 2020”. Część 5 Raportu poświęcona jest ocenie pozycji menedżerów ryzyka i relacji pomiędzy funkcją zarządzania ryzykiem (tzw. Druga Linia Obrony wg modelu IIA) a funkcjami z pozostałych Linii. Wyniki dają sporo do myślenia.
Relacje z I Linią Obrony, czyli z obszarem operacyjnym
Najwięcej respondentów oceniło jako „regularną, bliską współpracę opartą na jasnych zasadach” relację z funkcjami operacyjnymi, finansowymi i prawniczymi (w granicach 53 do 55%).
Najmniej tak pozytywnych ocen zgromadziły relacje z jednostkami odpowiedzialnymi za inwestycje i relacje inwestorskie, fuzje i przejęcia oraz … CSR: 20 do 24%.
W odniesieniu do tych relacji najwięcej jest opinii wskazujących na „brak jakichkolwiek relacji (współpracy) i zaangażowania”: 29 do 38%.
Najwięcej wskazań określanych jako „okazjonalna współpraca” dotyczyło relacji funkcji zarządzania ryzykiem z takimi obszarami jak: IT, planowanie strategiczne, HR i CSR (odpowiednio: 41%, 41%, 47% i 46%).
Relacje z pozostałymi funkcjami II Linii Obrony
Tutaj najlepsze relacje osoby zajmujące się stricte zarządzaniem ryzykiem wskazały na Bezpieczeństwo IT, jednostki kontroli wewnętrznej oraz szeroko rozumianego bezpieczeństwa (security / safety): 45 – 40%. Najlepsze oznacza „regularną, bliską współpracę”.
Najgorsze oceny zebrały relacje z obszarem zapewnienia jakości: 27% respondentów stwierdziło, że „nie ma współpracy i zaangażowania”.
Jako „okazjonalną współpracę” najczęściej wskazywano w odniesieniu do jakości i bezpieczeństwa (również IT): 39 – 36%.
Relacje z III Linią Obrony, czyli z audytem wewnętrznym i otoczeniem
45% respondentów wskazało, że relacje z audytem wewnętrznym są oparte na „regularnej, bliskiej współpracy”
W przypadku audytu zewnętrznego oraz podmiotów nadzoru (w tym podmiotów regulujących działalność sektora / branży) pozytywne oceny (relacji) nie przekraczają 28%.
Najgorzej oceniono relacje z regulatorami oraz podmiotami tzw. 3-ciej strony nadzoru (zapewnienia): 40-41% wskazań dotyczących „braku współpracy”.
Cóż, chyba z wyników tego badania nie mogą być zadowoleni autorzy Modelu Trzech Linii Obrony. Dlaczego? Zarządzanie ryzykiem nie jest działalnością jednoosobową; musi się opierać na współpracy wszystkich jednostek organizacyjnych firm i instytucji – dowolnej branży i sektora. Jeżeli zaś – jak wynika z Raportu – pozytywne oceny współpracy (relacji) nie przekraczają 55% to znaczy, że zarządzanie ryzykiem nie jest – generalnie rzecz ujmując – doskonałe; jest … obarczone sporym ryzykiem. Być może to też jest jedną z przyczyn próby aktualizacji Modelu 3LOD. Ale czy Trzy Linie (ale już nie obrony) poprawią sytuację? Wątpimy.
Przy okazji zachęcamy Czytelników do zapoznania się z treścią owego Raportu – można wyciągnąć z tego badania wiele wniosków. I uwaga końcowa: w badaniu nie uczestniczyli respondenci z Polski a ponad 76% głosów (na ponad 700 wypełnionych ankiet) pochodziło z tzw. krajów Europy Zachodniej.
Marzenia autorów Modelu 3LOD o jego skuteczności niestety są brutalnie niweczone przez życie a precyzyjniej rzecz ujmując: przez samych menedżerów i to z najwyższych pięter struktur zarządzania. Firma ORX (Operational Riskdata eXchange Association) publikuje regularnie dane dotyczące strat operacyjnych. I tak, w czerwcu 2020 roku, na liście 5 podmiotów z największymi stratami z tytułu zdarzeń operacyjnych znalazły się 4 banki i jedna firma ubezpieczeniowa. Największe straty, ponad 107 mln USD, poniósł szwedzki bank (SEB) z tytułu kar nałożonych za zakazane praktyki. Najmniejsze – w tym gronie – straty poniósł Commerzbank w Wielkiej Brytanii – „tylko” 47,7 mln USD. Również z tytułu zakazanych praktyk.
No i tu tkwi problem: w tych pomiotach są sztaby ludzi pełniących funkcje w ramach I, II i III Linii Obrony. Czy to coś dało? Czy uchroniło owe instytucje przed stratami?
