Lidé a jejich kompetence v managementu rizik pojišťovny

„Enterprise Risk Management je proces, iniciovaný představenstvem společnosti, vrcholovým vedením a dalšími pracovníky, aplikovaný při stanovení strategie a napříč celou společností, který je určen k identifikaci potenciálních událostí, které by mohly společnost ovlivnit, a dále určený k řízení rizik tak, aby zůstaly v rámci rizikového apetitu a zabezpečení dosažení stanovených cílů organizace“ - COSO[i]

Z této definice procesu risk managementu je patrné, že klíčovým prvkem celého procesu jsou lidé, samotné modely bez kvalitního manažerského úsudku nejsou obvykle k ničemu. Činnost každé organizace, ať ziskové nebo neziskové, je ovlivněna jak její vnitřní organizací, firemní kulturou, tak také externími vlivy a okolním prostředím. Tento příspěvek se nezabývá prostředím externím, ale věnuje se postavení a úloze risk manažera, statutárních orgánů (pro zjednodušení dále „představenstvo“, liniových manažerů, jednotlivých pracovníků a v neposlední řadě úlohou interního auditu v procesu řízení rizik.[ii] Především osoba risk manažera a jeho zařazení v organizační struktuře bývá v některých případech nesprávně pochopena a celý proces následně nepřináší hodnotu, kterou vedení společnosti očekává.

V první řadě je třeba ujasnit si otázku, kdo je ve společnosti odpovědný za řízení rizik. Je to risk manažer (v celé škále různých názvů jeho funkce a zařazení), finanční ředitel, generální ředitel, interní auditor? Asi bude překvapením, že risk manažer není tou osobou, která aktivně řídí rizika v kontextu liniového vedení společnosti. Jeho úloha bude objasněna v dalším textu. Odpovědnost spočívá na představenstvu a dále po linii řízení probíhá před jednotlivé liniové manažery až k jednotlivým pracovníkům. Následující schéma jednotlivé role graficky znázorňuje (samozřejmě se může lišit podle struktury, velikosti organizace a orgánů, které v ní působí – principy ale zůstávají shodné).

Představenstvo (nebo obdobný orgán) společnosti jako statutární zástupce odpovídá za risk management ve společnosti – tuto odpovědnost může delegovat nebo outsourcovat, nemůže se jí však zbavit. Je potřebné, aby všichni členové představenstva, včetně těch, který se přímo nepodílejí na řízení společnosti, dobře  rozuměli hlavním rizikům společnosti a pravidelně se problematikou risk managementu zabývali. Při svém rozhodování by měli posuzovat vlivy rizik na svá rozhodnutí, znát možné dopady odchylky od stanoveného cíle na hodnotu společnosti, zajistit odpovídající infrastrukturu RM ve společnosti včetně výběru a zařazení funkce risk managera a současně mít jistotu, že proces RM efektivně funguje a přináší společnosti přidanou hodnotu. Proces risk managementu se musí stát nedílnou součástí běžné organizační činnosti a pracovat s nastavenými strategickými cíly takové organizace. Představenstvo je dále odpovědné za vydání jasných a srozumitelných vnitřních norem, které stanoví filosofii RM, odpovědnosti a procesy. Představenstvo s ohledem na komplexnost a náročnost své činnosti v celé šíři organizační odpovědnosti, může vytvářet tzv. výbor pro risk management, na který celou řadu těchto úkolů přenáší. Samozřejmě záleží na velikosti takové organizace. Výbor je tvořen zástupci představenstva, risk managerem a dalšími klíčovými pracovníky ve společnosti.

Další částí liniové struktury jsou organizační útvary společnosti – jejich náplň je opět závislá na velikosti a struktuře, oboru činnosti, geografické působnosti a celé řadě dalších parametrů. Bez velkého rozboru je vcelku zřetelné, že například odbor lidských zdrojů bude pracovat s úplně jinými druhy rizik, než například útvar obchodní nebo základní výrobní jednotka. Uspořádání organizačních složek může být řešeno například podle místa, výrobku, funkce, či může mít uspořádání maticové. Organizační jednotky by měly mít povědomí o rizicích, která spadají do jejich oblasti odpovědnosti, o možných dopadech těchto rizik na další části společnosti a také o následcích, jaké z toho pro ně mohou plynout; k tomu zaváději ukazatele výkonu, které jim umožní sledovat zásadní obchodní a finanční činnosti organizace, dosahování cílů a určit procesy, které vyžadují zásahy (např. předpovědi a rozpočty); mít systémy, které dostatečně často upozorňují na odchylky od rozpočtů a předpovědí, aby bylo možné podniknout příslušné kroky; systematicky a pohotově hlásit vyššímu vedení organizace jakákoliv nová rizika nebo selhání stávajících opatření. Jednotlivé organizační útvary můžeme nazvat jako „risk centra“, která jsou vlastníky rizik a kontrol, identifikují, hodnotí a akceptují rizika, vytvářejí, provozují a monitorují odpovídající vnitřní kontrolu, rizika řídí a revidují, dodržují vydané postupy pro risk management a současně poskytují zpětnou vazbu risk managerovi a svým nadřízeným. Jednoduše, musí tvořit aktivní, nedílnou součást ERM.

Jakkoli kvalitní risk management vyžaduje nastavení a plnou podporu vrcholového vedení, bez jeho aplikace v jednotlivých úrovních organizační struktury, od vrcholového vedení až po jednotlivce, nemůže přinést úspěch a kvalitní výsledky. Efektivní risk management není tedy o vypracování podrobných směrnic, projednání procesu na vrcholové úrovni vedení a zmínce ve výroční zprávě. Skutečně efektivní proces musí dosáhnout toho, že každý jednotlivý zaměstnanec společnosti přijal proces RM za součást své každodenní činnosti – on je tím konečným vlastníkem rizika. Krom toho, že lidé jsou v prakticky v každé firmě nebo organizaci jedním z nejcennějších aktiv, jsou také významným zdrojem rizik. Tvoří významný podíl nejistoty, možná až tři čtvrtiny všech operačních rizik. Práci jednotlivého zaměstnance ovlivňuje velká řada různých faktorů:

- úroveň výkonu, kterého dosahují a jaké podmínky k tomu mají

- individuální stupeň motivace

- kvalita a úroveň vykonávané činnosti

- stupeň, jak jsou osobní cíle sladěny s cíly a strategií organizace

- morální riziko, když lidé dělají činnosti, které nejsou  v zájmu organizace

- skutečné schopnosti jednotlivce

- pokračující dostupnost jednotlivce

Pro ilustraci výše uvedeného i dalšího textu poslouží následující schéma:

Tím se postupně dostáváme k pozici risk manažera (často CRO – Chief Risk Officer), jeho roli a odpovědnosti v organizační struktuře společnosti. Z dalšího textu bude zřejmé, že risk manažer není tím, kdo ve skutečnosti rizika řídí – tuto činnost jsme již přiřadili jednotlivým organizačním útvarům a jednotlivcům. Je to někdo, kdo aktivně napomáhá formování procesu risk managementu napříč celou společností a jeho zařazení ve struktuře společnosti mu umožňuje přímí přístup k představenstvu a vrcholovému vedení. Jaké jsou tedy úlohy risk manažera? Mezi jiným napomáhá představenstvu formulovat strategii RM a rizikový apetit; buduje firemní kulturu společnosti směrem k RM včetně vzdělávání; připravuje firemní postupy pro RM a struktury pro organizační jednotky a je jim nápomocen při realizaci; připravuje a reviduje formální proces RM; koordinuje veškeré RM aktivity ve společnosti, integruje rizika napříč organizací, hodnotí jejich propojení, doporučuje opatření; podporuje rozvoj procesu reakcí na rizika včetně formulací krizových řešení; připravuje reporting pro představenstvo a stakeholdery, atd., atd.

Práci risk manažera ovlivňuje celá řada faktorů, které můžeme rozdělit do několika hlavních skupin:

• Pohled vrcholového vedení (zařazení RM úseku, jasné vymezení pravomocí RM, úroveň znalostí RM, úroveň podpory, přístup RM k vrcholovému vedení)
• Externí vlivy, zkušenosti od jiných organizací, corporate governance, požadavky na reporting RM)
• Druh podnikání druh výroby nebo činnosti, velikost organizace, stupeň decentralizace, organizační kultura
• Vývoj organizace (předchozí zkušenosti s RM, rychlost rozvoje, rizikový apetit a tolerance, rychlost akvizic nebo organického růstu apod.)
• Charakteristiky odboru RM (původ odboru RM, očekávání managementu – zkušenosti RM, kvalita osob, dostupné zdroje – finanční, lidské)

Kvalitní risk manažer musí pro svoji práci v sobě kombinovat celou řadu schopností, které prakticky žádná jiná pozice v rámci organizační struktury nepotřebuje. Jeho význam v posledních letech velice stoupá pravidelně se usídluje mezi vrcholovým vedením společnosti. Následující schéma demonstruje tyto nároky:

        RIMS – Core Competency Model

Postupně se dostáváme do třetí linie ochrany společnosti, nezávislé kontroly, kterou v dnešní době většinou představuje interní audit, obvykle podléhající přímo představenstvu anebo prostřednictvím auditorského výboru. V rámci procesu risk managementu bychom k IA přiřadili následující činnosti:

• Monitoruje efektivnosti procesů risk managementu
• Kontroluje postup plnění plánu v případě implementace procesu RM
• Testuje jednotlivé nastavené  kontroly
• Potvrzuje rizikové informace a výkazy RM, efektivnost komunikace s dodavateli, klienty a dalšími stakeholdery
• Identifikuje potřebná nápravná opatření a stanovené priority
• Spolupracuje s útvarem risk managementu
• Předkládá výkazy o své činnosti představenstvu

Velmi často se rozvíjí diskuse, proč budovat odbor risk managementu, když ve společnosti funguje interní auditor. Ten všechno perfektně zvládne. Odpověď na tuto otázku nalezneme jednak ve statutu interního auditu a jeho nezávislosti, ale pro rychlou orientaci napomůže následující schéma, které se zaměřuje na vztah činností mezi risk managementem a interním auditem – kde a kdy se tedy IA zapojí do procesu risk managementu:

ANO - základní kompetence IA v procesu řízení rizik

• stanovisko ke správnosti procesu řízení rizik
• stanovisko ke správnosti způsobu hodnocení rizik
• hodnocení efektivnosti procesu ERM
• hodnocení identifikace a vykazování klíčových rizik
• hodnocení celkového řízení klíčových rizik

ČÁSTEČNĚ - legitimní konzultační úlohy s určitými omezeními v ohledu na celkovou velikost a strukturu společnosti

• usnadnění identifikace a posouzení rizik včetně poskytnutí relevantních nástrojů
• trénink pro vedoucí pracovníky při reakci na rizika
• koordinace ERM aktivit, tvorba jednotného jazyka a vnitřní kultury
• konsolidace výkazů rizik
• tvorba a podpora rámce ERM (spíše u společností, kde není plně rozvinut institut risk managera

URČITĚ NE - úlohy, které by v procesu řízení rizik IA zásadně neměl vykonávat

• nastavení rizikového apetitu společnosti
• zavádění a prosazování procesu řízení rizik ve společnosti
• přijímání rozhodnutí reakce na rizika
• implementace opatření namísto vedení společnosti
• převzetí odpovědnosti za řízení rizik

Věřím, že tento příspěvek napomůže lepší orientaci v otázkách lidských zdrojů a jejich kompetencí při realizaci procesu risk managementu ve společnosti. Závěrem ještě několik předpokladů úspěchu:

ERM pro úspěšnou implementaci a každodenní využívání k ochraně všech hodnot společnosti potřebuje

• viditelnou a silnou aktivní podporu vrcholového vedení
• implementační tým fungující napříč celou organizační strukturou
• nastavení ERM se základními strategickými a finančními cíly organizace
• ERM je proces a potřebuje určitý čas aby se rozvinul a přinášel přidanou hodnotu společnosti
• potřebuje dostatečný trénink a zdroje
• není do nový, samostatný program – ale součást běžného řídícího procesu
• hledá nové náměty (od zaměstnanců, z externích zdrojů)