13. Zarządzanie ryzykiem¶
Motto
„Zarządzanie ryzykiem i pasy bezpieczeństwa chronią tylko wtedy gdy są używane”
Z dyskusji w przerwie konferencyjnej
Omawiając funkcjonowanie rynków finansowych i ich instrumentów zawsze wspomina się o ryzyku, które to ryzyko jest permanentnie związane z tymi zagadnieniami. Przyjmijmy definicję ryzyka wg, Teresy Kamińskiej:.
Ryzyko oznacza możliwość osiągnięcia wartości końcowej kapitału (inwestycji, instrumentu finansowego) różniącej się od wartości oczekiwanej. Działanie w warunkach ryzyka, dotyczy podejmowania decyzji odnośnie do zdarzeń, które mogą wystąpić z określonym prawdopodobieństwem.
Szczegółowe rozważania dotyczące tego czym jest ryzyko i czym jest niepewność zostały już przedstawione w skrypcie Wybrane Zagadnienia Analizy Rynków Finansowych.
Myśląc o ryzyku i kontrolowaniu go w jakiś sposób widzimy, ze jego występowanie jest zjawiskiem szerszym i nie zawęża się do rynków finansowych i działalności człowieka w tym obszarze.
Każde przedsięwzięcie jest bowiem obarczone ryzykiem. Z doświadczenia znany tylko przeszłość, obserwujemy teraźniejszość i próbujemy przewidzieć przyszłość. Przewidywanie jest związane z wymyślaniem prawdopodobnych scenariuszy opartych na odkrytych trakcie obserwacji zasadach i prawach. Nie wszystkie są prawami deterministycznymi. Często wspomagać się musimy prawdopodobnymi scenariuszami. Niedoskonałość naszych zmysłów nie pozwala nam patrzeć „w przód” w czasie tak jak to robimy spogladając w różznych kierunkach w trójwymiarowej, „klasycznej” przestrzeni. Tą niedoskonałość rekompensujemy sobie tworzeniem modeli, analizą statystyczną danych przeszłości, tak, aby znaleźć przesłanki o przyszłości i przewidzieć ją najlepiej.
Najlepiej, znaczy by przewidzieć, jak będzie. Ten nieco idealny sposób myślenia jest uproszczeniem i jest bardzo niedoskonały z powodu tego jakimi danymi dysponujemy.
Uwaga
W tym miejscu zacytować można Konfucjusza, który to przed wiekami powiedział „Kto nie umie spoglądać daleko, będzie miał kłopoty blisko”
Tak wiec planując jakiekolwiek działanie w przyszłości (projekt, kampanie prasową, wojskową, budowanie strategii, etc.) rozpatrujemy trzy obszary naszej wiedzy i doświadczenia:
Wiemy, to co wiemy.
Tutaj mieszczą się nasze doświadczenia i posiadana wiedza. Nasze doświadczenia z przeszłości, statystyki, modele etc.
Myśląc omodelu, należy pamiętać, że tak, jak mapa to nie realny teren to model ma się tak do rzeczywistości jak mapa do terenu.
Wiemy, czego nie wiemy
W tym obszarze mieszczą się nasze uświadomione ograniczenia. Musimy podjąć działania by zdobyć potrzebne informacje. Nie wiemy albo nie posiadamy informacji o pewnych danych czy faktach, ale potrafimy zaplanować nasze działania na wypadek gdyby zdarzyło się to coś o czym akurat nie wiemy a może mieć wpływ na nasze działania. Przygotować możemy scenariusz działań na wypadek, gdyby to coś się zdarzyło i jak sobie wyobrażamy mogłoby przebiegać. W tym obszarze mieszczą się również ludzkie błędy oraz odmienne od przewidywanych zachowania ludzkie spowodowane przykładowo zaistnieniem konfliktu interesów.
Nie wiemy, czego nie wiemy.
Ten obszar jest największą niepewnością. Staramy się by był najmniejszy, ale zawsze istnieje i powoduje, że przyszłość tylko potrafimy przybliżać, a jej kształt nigdy nie jest pewny.
Chcąc działać skutecznie i efektywnie planujemy działania na przyszłość aby najlepiej wykorzystać wszystkie nasze zasoby i umiejętności. Musimy jednak wziąć pod uwagę i to co może się zdarzyć na wypadek ryzyka niepowodzenia w pewnych obszarach. Czyli nie tylko jak będziemy zarządzać naszymi zasobami, aktywami, etc. ale i jak będziemy zarządzali ryzykiem. Zarządzanie ryzykiem jako stały element planu działania pojawiło się w latach dziewięćdziesiątych poprzedniego wieku jako uzupełnienie dotychczasowych standardów planowania. Jak powiedział Peter Bernstein w swej książce “ Against the Gods” (Bernstein, Peter L. (1996). Against The Gods: The Remarkable Story of Risk. New York: John Wiley & Sons. ISBN 0-471-12104-5. ) „Najbardziej rewolucyjną ideą, która zdefiniowała granice miedzy przeszłościa a teraźniejszością jest zarządzanie ryzykiem „
Zarządzanie ryzykiem jest podejmowane, by zredukować lub wyeliminować skutek wystąpienia pewnych zdarzeń, mogących mieć wpływ (negatywny) na działalność organizacji. Często działania zarządzania ryzykiem koncentrują się na umożliwieniu przetrwania i funkcjonowania organizacji oraz ograniczenia ryzyka finansowego. Niemniej jednak zarządzanie ryzykiem ma na celu również ochronę pracowników, klientów i osoby przypadkowe od skutków takich zdarzeń jak pożar, akty terroryzmu etc. Zarządzanie ryzykiem zawiera w sobie również ochronę obiektów, ochronę danych operacyjnych, księgowych oraz wszelkich zasobów organizacji. W tym zakresie należy również pamiętać o ochronie przed nadużyciami, kradzieżami itd.
Zarządzanie ryzykiem dotyczy wszystkich aspektów działalności organizacji i wszelkich ryzyk jakie występują lub mogą występować. Ryzyk wystąpienia zdarzeń i efektów niepożądanych. Co jest zdarzeniem i efektem niepożądanym zależy od szerokiego wachlarza przyczyn i jest definiowane zazwyczaj przez organizacje i zależy od jej celów, obszaru działania i środowiska. Środowisko naturalne, oczywiście, też jest brane pod uwagę. A katastrofy takie jak Czarnobyl, wypływ ropy naftowej do wód morskich są tylko przykładem tego, że efekt niezamierzony może powodować skutki przekraczające wąskie, techniczne spojrzeniu na działalność firmy.
W liczbie ryzyk należy też uwzględnić niezamierzone efekty jakie może przynieść utrata reputacji, zaufania, klientów etc.
Zarządzanie ryzykiem (ZR) w ostatnich latach staje się coraz powszechniej praktykowanym postępowaniem w firmach, organizacjach a nawet agendach rządowych nie wspominając o naszym, osobistym, codziennym życiu.
Zakres działania ZR ewoluował w czasie i pojawiały się nowe narzędzia i techniki zarządzania oraz metody oceny ryzyka. Zarządzanie ryzykiem z czasem nabierało znaczenia i stawało się znaczącą częścią działań organizacji i firm. Osoby odpowiedzialne za tą działalność zaczęły być coraz bardziej znaczące w hierarchii organizacji i coraz większa ilość członków tych organizacji zaczęła brać czynny udział w zarządzaniu ryzykiem. Specjaliści z tej dziedziny stają się coraz bardziej poszukiwani. Dziedzina, która nie istniała przed rokiem 1990 zaczyna zajmować znaczącą pozycję w strukturach współczesnych organizacji. Znaczenie zarządzania ryzykiem wzrasta.
Pojawiają się regulacje prawne stawiające wymogi zarządzaniu ryzykiem i regulujące odpowiedzialność za kontrolę ryzyka w organizacjach. Coraz większe znaczenie mają zasady corporate governance i znaczenie konfliktu interesów jest coraz bardziej uświadamiane. Wydarzenia 11 września 2001roku i kryzysy finansowe 2008 roku wyzwoliły niezwykle szybkie działania w kierunku polepszania zarządzania ryzykiem. Globalny kryzys finansowy spowodował znaczące i trwające do dziś zmiany zarządzania ryzykiem w instytucjach finansowych. Inicjatywy regulacji prawnych mające na celu zwiększenie transparentności i stabilności systemu finansowego pojawiają się w znaczących gospodarkach świata. Należą do nich amerykańskie regulacje autorstwa Dodda -Franka, europejskie EMIR (European Market Infrastructure Regulation) i ogólnoświatowa regulacja Basel III. Głównym celem tych i podobnych im regulacji jest zmiana wymogów prawnych dla zarządzania ryzykiem, wymogów kapitałowych, płynności, używania instrumentów pochodnych i transakcji z użyciem środków własnych i transakcji z klientami. Unia Europejska centralizuje nadzór nad bankami pod skrzydłami Europejskiego Banku Centralnego. W tym samym czasie instytucje finansowe doskonalą swe programy zarządzania ryzykiem poprzez poprawę ładu korporacyjnego oraz poprawę modeli oceny ryzyka, stress testingu, systemów informacyjnych zarządzania ryzykiem.
13.1. Narzędzia używane w zarządzaniu ryzykiem (finansowym)- rys historyczny¶
Od chwili pojawienia się idei zarządzania ryzykiem, zarządzanie to poszukiwało najefektywniejszych narzędzi do oceny ryzyka. Zanim zostaną one omówione należy podkreślić, że najlepszym narzędziem jest, było i będzie- zdrowy rozsadek i dobra znajomość i rozumienie tego co się robi. Te cechy są niezmienne i podstawowe mimo technicznej ewolucji narzędzi i ich technicznej złożoności. Należy pamiętać, że zarządzanie (a szczególnie zarządzanie finansowe) to nie wyszukana matematyka ale konkretne działania na pieniądzach będących oszczędnościami i nadzieją na przyszłość ludzi. Wiec dobrze jest wiedzieć co się robi i przewidywać jakie mogą być skutki naszych działań. Niewątpliwie z wielu aspektów działalności ludzkiej działalność finansowa wytworzyła znaczące narzędzia do zarządzania ryzykiem.
Około roku 1938 pojawiła się idea duration jako sposobu porównywania instrumentów dłużnych (obligacji). Bardzo trudno jest porównywać różne obligacje bo mimo, że posiadają często szereg podobnych parametrów je opisujących, jednak różnią się w relacji do ryzyka. Jak będzie wykazane w rozdiale dotyczącym obligacji, duration pozwalała na porównanie ryzyka obligacji łącząc niejako sobie stopy procentowe, okres czasu do zapadalności itd.
Markowitz na początku lat pięćdziesiątych XX wieku w swej pracy doktorskiej zaproponował rewolucyjne podejście do ryzyka. Nie wchodząc w zawiłe rozważania o sensie i istocie ryzyka powiedział, ze dla niego ryzyko będzie charakteryzowane przez wariancje ceny aktywa. Lata sześćdziesiąte to rozwinięcie analiz zarządzania portfelem i pojawienie się bety jako miary ryzyka instrumentu czy też portfela.
Próby opisu zachowania rynków i przewidywania ich zachowania, skutkowały poszukiwaniem związków rożnych czynników i ich wpływu na to co dzieje się na rynku. Pojawiają się modele wielofaktorowe.
Lata siedemdziesiąte to stosowanie coraz bardziej wyrafinowanych metod obliczeniowych opartych na doświadczeniach fizyków a stosowanych w finansach. Zastosowanie metodologii drzew binarnych, rozważania opartych na stosowaniu metody ruchów Browna z dryftem spowodowały powstanie ciekawych sposobów wyceny zachowania się rynków i wyceny opcji. Wzory Blacka, Scholesa pozwoliły na nieco inne spojrzenia na ryzyko i jego pomiar.
Analiza cen opcji i ich czułości na parametry rynku (greki) pozwoliły na lepszą ocenę ryzyka i zmienności parametrów rynku i cen. Lata osiemdziesiąte to idea zwrotu na kapitale modyfikowanego ryzykiem. Można porównywać rożne instrumenty o różnym ryzyku i ich wpływ na wynik końcowy instytucji. W zakresie zarządzania aktywami i pasywami pojawiają się limity na ekspozycje duration, oraz limity na „ greki”.
Lata dziewięćdziesiąte to bardzo szybki rozwój narzędzi, pojawia się idea testów w warunkach ekstremalnych, stress test a następnie Value at Risk, zmodyfikowana i rozwinięta jako Risk Metrics, z czasem dotycząca też ryzyka kredytowego.
Koniec wieku to połączenie ryzyka kredytowego z rynkowym (rynki finansowe) oraz z ryzykiem operacyjnym.
Od początku wieku XXI proces zarządzania ryzykiem dotyczy wszelkich obszarów działania organizacji i zarządzania ryzykami występującymi w tych obszarach.
W działaniach organizacji należy zidentyfikować wszelkie możliwe, występujące ryzyka. Identyfikacja ryzyk to ważny element zarządzania ryzkiem. Jest to proces, który zaczyna się na początkowym etapie tworzenia planu postępowania w obliczu ryzyka. Ta lista ryzyk jest ciągle analizowana monitorowana i aktualizowana. W skład ryzyk wchodzą ryzyka działalności ogólne takie jak ryzyka wypadków w miejscu pracy, ryzyko pożaru, powodzi, zalania, i innych klęsk naturalnych. Należy wziąć pod uwagę również wszelkie ryzyka prawne, kradzieże defraudacje, oszustwa, oskarżenia o żądanie zadośćuczynienia w przypadku oskarżeń o mobbing, napastowanie seksualne i możliwość roszczeń w przypadku błędnego czy niewłaściwego wykonania pracy, usługi etc. Ryzyka również wiążą się z działalnością zawodową, zjawiskami na rynkach finansowych, niepowodzeniami projektów, oraz bezpieczeństwem bazy danych i systemów komputerowych. Zarządzanie ryzykiem nie ogranicza sie do ryzyka finansowego.
13.2. Czym jest zarządzanie ryzykiem?¶
Zarządzanie Ryzykiem jest to oparta na logice metoda systematycznej identyfikacji, analizowania, zapobiegania i monitorowania ryzyk wiążących się z każdą działalnością czy procesem. Zarządzanie ryzykiem jest sposobem, który umożliwia menedżerom najlepsze wykorzystanie środków jakie mają do dyspozycji. Zarządzanie ryzykiem jest obecnie nierozerwalna częścią planowania każdej działalności. Zarządzanie Ryzykiem jest to istotna składowa zarządzania każdej organizacji bez względu na obszar działania lub pełnioną funkcję. Zarządzanie ryzykiem to proces łagodzenie skutków lub eliminowania pewnych ryzyk w różnych obszarach działania organizacji tak by ich wpływ negatywny na wynik działania organizacji był najmniejszy. Różne strategie są wdrażane by zarządzać ryzykiem w zależności od rodzaju działalności organizacji i jej celów. W przypadku zarządzania ryzykiem finansowym polega to na ocenie czy ryzyko brane w działalności jest właściwe (nie można liczyć na nagrodę zysku jeśli nie podejmie się ryzyka). Zazwyczaj polega to na wprowadzeniu zasad jak organizacja podejmuje decyzje finansowe i określenie co to jest właściwe ryzyko.
13.3. Zarządzanie ryzykiem finansowym¶
Organizacja podejmując decyzje finansowe, zazwyczaj podejmuje pewne ryzyko związane z tymi działaniami, szczególnie jeśli dotyczą one inwestycji. Zarządzanie ryzykiem finansowym to zbiór zasad który to zbiór, pozwala organizacji optymalizować sposób brania na siebie ryzyka finansowego. Ten zbiór zasad zawiera również sposób w jaki organizacja monitoruje działania obarczone ryzykiem i jak proces zarządzania jest wdrażany i jak jest monitorowany. W instytucjach finansowych zarządzanie ryzykiem podlega bezpośrednio pod Zarząd, który to prawnie odpowiada za zarządzanie ryzykiem, podobnie jak Rada Nadzorcza. Wymienione organy ustalają i monitorują jak decyzje finansowe zapadają w spółce.
13.4. Natura ryzyka na rynkach finansowych¶
Ryzyko operacji na rynkach finansowych ma wiele postaci i wiele źródeł pochodzenia.
Literatura fachowa podaje wiele ich klasyfikacji. Przykładowo zaproponowana przez Bank Rozrachunków Międzynarodowych (Bank for International Settlements - BIS definicja ryzyka wiąże je z podejmowaniem decyzji finansowych, dotyczących sposobów finansowania działalności instytucji finansowej. BIS zaproponował wyodrębnienie pięciu podstawowych pod kategorii ryzyka finansowego:
Ryzyko kredytowe - rozumiane jako ewentualność, że Klient, druga strona transakcji może nie wywiązać się z warunków umowy.
Ryzyko rynkowe - wiąże się z możliwością zmiany cen instrumentów na rynkach finansowych co w konsekwencji prowadzi do zmiany wyniku finasowego transakcji
Ryzyko płynności - a właściwie jej utraty. Ryzyko to może dotyczyć instrumentu lub strony transakcji. Ryzyko braku płynności instrumentu występuje jeśli warunki rynkowe uniemożliwiają dokonanie transakcji kupna/sprzedaży danego instrumentu (np. mała aktywność w tym segmencie rynku, brak notowań), Ryzyko braku płynności strony transakcji (instytucji) występuje jeśli dana instytucja nie posiada w danym momencie środków płynnych na wywiązanie się z warunków umowy.
Ryzyko prawne - to ryzyko poniesienia straty z powodu niewłaściwej dokumentacji, złych zapisów w umowach, konfliktu interpretacji prawnych czy systemów prawnych.
Źródło definicji (Bank for International Settlement) jest wiodącym źródłem dla zasad zarządzania ryzykiem obowiązujących banki. Banki operują głównie kapitałem klientów wiec szczególna ostrożność prowadzenia operacji jest wymagana. Bezpieczeństwo systemu bankowego i jego operacji zostało omówione w rozdziale „Bezpieczeństwo systemu finansowego- Wprowadzenie do funkcjonowania rynków finansowych”. Zarządzanie ryzykiem banki opierają na zasadach Nowej Umowy Kapitałowej (Basel II i III). W kształtowaniu zarządzania ryzykiem Bank BIS odgrywa wiodąca rolę.
Inwestor w swych operacjach na rynkach finansowych spotkać się może z ryzykami powodującymi inne od zamierzonego efektami prowadzonych operacji inwestowania. Biorąc pod uwagę instrumenty finansowe to wiążące się z nimi ryzyk można pogrupować:
Ryzyka związane ze zmiennością na rynkach finansowych
Ryzyko stopy procentowej - dotyczy inwestycji w instrumenty dłużne. Jeśli na rynku finansowym zmieniają się stopy procentowe, to taka zmiana powoduje zmiany dochodu z posiadanych instrumentów. Inne dochody powodują inna wycenę wartości instrumentów. Wzrost stopy procentowej powoduje spadek ceny instrumentu dłużnego, a spadek stopy procentowej wzrost ceny instrumentu.
Ryzyko zmiany kursów walut - występuje, gdy instrument finansowy, jest denominowany w innej walucie niż waluta rozliczania instrumentu. Zmiany kursu walutowego powodują to, że stopy zwrotu wyrażone w dwóch różnych walutach nie są takie same.
Ryzyko inflacji - występuje wtedy, gdy inflacja zmienia siłę nabywczą dochodu z inwestycji.
Ryzyko rynku - to ryzyko zmiany ceny na rynkach finansowych. Ceny na rynkach finansowych zmieniają sie pod wpływem wielu czynników zarówno fundamentalnych (czynniki gospodarcze) jak i emocji uczestników rynku.
Ryzyko braku płynności instrumentu - występuje w przypadku instrumentów finansowych handlowanych rynku o niewielkiej aktywności uczestników. A na takich rynkach instrumenty stosunkowo trudno jest sprzedać po godziwej cenie.
Ryzyka wiążące się z zachowaniem drugiej strony transakcji
Ryzyko niedotrzymania warunków emisji instrumentu (default risk) - występuje wtedy, gdy emitent instrumentu finansowego nie może dotrzymać warunków umowy emisji. Przykładowo - nie wypłaca odsetek(instrument dłużny)w terminie, wcale etc.
Ryzyko zarządzania - wynika błędów w zarządzania spółką emitującą papiery wartościowe mających wpływ na uzyskiwane przez nią wyniki finansowe, co w rezultacie przekłada się na wartość instrumentu finansowego. Skrajną formą tego ryzyka jest ryzyko bankructwa emitenta.
Ryzyko finansowe - występuje jeśli skutkiem błędów w zarządzaniu lub zmiany otoczenia rynkowego spółki, jej lewarowanie zobowiązaniami powoduje straty w wyniku finansowym
Ryzyko braku płynności emitenta - wiąże się z wystąpieniem braku możliwości do wypełnienia zobowiązań finansowych emitenta w terminie.
- Ryzyko biznesu - nazywane ryzykiem operacyjnym, wynika ze
zmienności dochodów uzyskiwanych przez emitenta instrumentu finansowego skutkiem zmiany otoczenia rynkowego emitenta lub błędów w zarządzaniu.
Ryzyka otoczenia rynków
Ryzyko polityczne - występuje wtedy, gdy rząd, parlament lub inne władze uchwalają regulacje prawne lub podejmują decyzje wpływające na sytuacje inwestorów, lub emitentów (np. decyzje dotyczące opodatkowania). Ryzyko polityczne może występować w skali ponad państwowej (konflikty polityczne, wojny).
13.5. Składowe procesu zarządzania ryzykiem¶
Proces zarządzania ryzykiem składa się z:
Określenia i zrozumienia celów organizacji.
Identyfikacji ryzyk
Zmierzenia ryzyk
Ocenienia efektów (wpływów) ryzyk
Wybrania i sprawdzenia właściwych narzędzi do zarządzania ryzykami.
Wyboru właściwego podejścia do zarządzania ryzykami.
Wdrożenia i monitorowania programu działania
Istnieje wiele standardów zarządzania ryzykiem przykładowo: International Organization for Standardization ISO 31000, PRIMIA, CoSco, AIRMIC, FERMA, Pomarańczowa księga.
Zastosowanie któregoś ze standardów pomaga zrozumieć sens zarządzania i jego techniki oraz pozwala na bycie kompatybilnym do innych instytucji co niewątpliwie polepsza możliwości współpracy.
Proces wdrażania Zarządzania Ryzykiem (ZR) zaczyna się od zrozumienia celów organizacji, sposobów działania i osiągania celów. W trakcie tego etapu należy analizować, co może nie pozwolić na pełne i efektywne osiąganie celów. Te okoliczności to ryzyka. Wiele z nich to ryzyka strategiczne.
Analizując takie ryzyka należy ustalić strony uczestniczące w takim splocie wydarzeń (Interesariuszy), ustalić kogo dotyczą lub mogą dotyczyć oraz komu szkodzić. Warto w tym miejscu omówić i zanalizować poprzednie przypadki i ewentualne nowe istniejące już scenariusze działań z przeszłości i ich zalecenia na przyszłość. Bardzo często w strategiach pojawia się wzrost jako element strategii. Należy pamiętać, że wzrost jest bardzo ważnym elementem strategii, ale on jest też elementem ryzyka. Wzrost to nie zawsze znaczy duże ryzyko ale duże straty prawie zawsze następują po szybkim wzroście.
Ryzyka w obszarze działania organizacji wynikają z:
Otoczenia rynkowego
Cykli gospodarczych
Cykli sektorowych
Tendencji w branży
Zmian technologicznych
Przyjętej strategii opartej na sformułowanej wcześniej wizji.
Powyższa analiza czynników prowadzona pod kątem ryzyka nie osiągnięcia celów instytucji w naturalny sposób ogarnie kolejne obszary, w których występujące ryzyko może mieć negatywny wpływ na osiągniecie celów organizacji. Te obszary to obszary ryzyka niejako pierwotnego czyli obszar ryzyka rynkowego, ryzyka kredytowego i ryzyka operacyjnego.
Ryzyko operacyjne - to zagrożenie możliwości osiągnięcia zamierzonych celów w wyniku błędów funkcjonowania, usterek systemów informacyjnych, błędów pracowników, niewłaściwej kontroli wewnętrznej instytucji finansowej. Albo inaczej cytując definicje z dokumentu S&P 2005 “Insurance Criteria” : Ryzyko operacyjne zawiera ryzyka „dystrybucji, procesu i czynnika ludzkiego, defraudacji oraz kontroli wewnętrznej, outsourcingu, uszczerbku na reputacji, technologii informatycznej, niewłaściwego zarządzania zasobami ludzkimi, regulacji oraz niedotrzymania warunków usług lub produktów (compliance), zarządzania zmianą, oraz ryzyka zagrożenia kontynuowania działalności.”
W obszarze tego ryzyka należy pamiętać o analizie możliwości wystąpienia konfliktu interesów. Istnienie takich konfliktów ma zazwyczaj brzemienne skutki bo w większości przypadków zawodzi człowiek.
Mając zidentyfikowane ryzyka należy je oszacować ryzyka i ich ewentualne skutki.
Innymi słowy należy określić czy zdarzenie może wystąpić? (Prawdopodobieństwo lub częstotliwość występowania) a następnie, jaki będzie efekt, koszty lub konsekwencje wystąpienia takiego zdarzenia. (Gospodarcze, polityczne, społeczne). Ta ocena ma na celu uświadomienie istnienia ryzyka i uporządkowanie ryzyk pod kątem priorytetów zarządzania firmą, kategorii ryzyk i nadanie im wagi, biorąc pod uwagę prawdopodobieństwo i wielkość możliwych kosztów albo konsekwencji. Ryzyka nie da się wyeliminować zupełnie, więc należy ustalić poziom akceptowalnego ryzyka.
Porównanie ryzyk to uporządkowanie ich pod kątem prawdopodobieństwa i skutku. Np. Na dwuwymiarowym wykresie prawdopodobieństwo i skutek.
Prawdopodobieństwo Priorytety: Czerwony- wysoki Żółty- średni Zielony - niski¶
Przy pomiarze ryzyka wykorzystuje sie zazwyczaj miary zmienności (volatility). W przypadku instrumentów czy portfeli instrumentów stosuje się zazwyczaj Value at Risk.
Mając ustalone ryzyka należy sporządzić plan przeciwdziałanie każdemu zidentyfikowanemu ryzyku, biorąc pod uwagę dostępne środki - techniczne, finansowe, zasoby ludzkie etc. Porównanie ryzyk i ustalenie priorytetów (strategiczne, operacyjne) pod kątem ich skutków ustala się tak, że dla każdego ryzyka ocenić należy prawdopodobieństwo danego skutku Pi, ocenić kwotowo straty związane z danym skutkiem wystąpienia ryzyka Si i mnożąc Pi x Si otrzymuje się kwotę wystawioną na ryzyko niechcianego skutku. Otrzymywana kwota jest porównywana w przypadku różnych działań mających na celu łagodzenie skutków ryzyka (analiza scenariuszy) i kolejny krok to wyliczenie dźwigni ryzyka czyli (kwoty skutku przed obniżeniem ryzyka - kwota skutku po obniżeniu ryzyka ) / (koszty obniżenia ryzyka ).
Ochrona przed ryzykiem wiąże się z kosztami a zdrowy rozsądek obowiązuje zawsze, więc ekonomizacja działań jest wręcz intuicyjnym ale ważnym zabiegiem. Ustalenie priorytetu i kosztów przeciwdziałania pozwala świadomie ocenić poziom akceptowalnego ryzyka.
13.6. Kontrolowanie ryzyka¶
Zarządzanie ryzykiem jest procesem, procesem ciągłym a nie działaniem akcyjnym. Nieustający proces identyfikacji ryzyk, ich źródeł oraz skutków, wtraz z ciągłym procesem ich analizy jest podstawą zarządzania ryzykiem i ciągłej kontroli uzyskiwanych efektów. Polega to na tym, że kierując się na obniżanie ryzyka, planuje się działania na wypadek wszelkich możliwości a następnie monitoruje się proces i prowadzi się ciągłą ocenę i wycenę ryzyka. Wyniki pomiarów ryzyka i identyfikacja jest podstawą do wdrażania przygotowanych procedur postępowania oraz ich analiza i ciągłe ich poprawianie i ulepszanie. Ciągłość tego procesu jest niezmiernie ważna. Ważną częścią tego procesu jest kontrola wewnętrzna i sprawdzanie czy procedury i zasady postępowania przewidziane w zarządzaniu ryzykiem są przestrzegane i czy funkcjonują w praktyce i czy funkcjonują dobrze. Kontrola wewnętrzna nie jest ćwiczeniem akademickim, o którym można przeczytać w podręczniku a następnie zapomnieć. Wprost przeciwnie w instytucji finansowej kontrola wewnętrzna jest tym czynnikiem, który pozwala tej instytucji utrzymać wysoki poziom efektywności systemu. Żadna działalność nie może na dłuższa metę funkcjonować efektywnie bez skutecznego systemu kontroli wewnętrznej.
13.6.1. Postępowanie ze zidentyfikowanym ryzykiem¶
Jeśli ryzyka zostają zidentyfikowane i pomierzone (porównane) należy zastanowić się nad tym co można uczynić aby im zapobiec albo zmniejszyć ich negatywne skutki.
Celem myślenia jest obniżenie ryzyka wszędzie tam gdzie jest to możliwe i wskazane.
Obniżyć ryzyko można próbując go uniknąć. Podjęte działanie w takim przypadku to modyfikacja założeń działania. Inną ewentualnością jest transfer ryzyka. Transfer polega na przeniesieniu niejako skutków tego ryzyka do innego systemu, poza organizacje, której ryzykiem zarządzamy. Przykładem takiego działania jest ubezpieczenie się od ryzyka u ubezpieczyciela wykupując polisę pokrywającą straty wynikłe w skutku zaistnienia ryzyka. Chętnych do brania ryzyka jest na rynku więcej i wiele firm na kupowaniu ryzyka oparło swój sposób na funkcjonowanie. Rynek instrumentów pochodnych to możliwość transferu ryzyka. Dzięki takim rynkom i firmom na nich działających, możliwy jest hedging czyli zabezpieczanie się przed ryzykiem zmiany ceny.
Obniżanie ewentualnych negatywnych skutków ryzyka daje proces zwany łagodzeniem (mitygacją) skutków ryzyka. Łagodzenie to działania wyprzedzające umożliwiające zmniejszenie prawdopodobieństwa wystąpienia ryzyka albo minimalizacje jego skutków. Transakcje hedgingowe mają podobne działanie. Jednak zawierając takie transakcje należy pamiętać, że wymagają one dodatkowej troski. Zawarte dzisiaj łagodzą skutki ryzyk z dzisiejszego punktu widzenia ale należy pamiętać zabezpieczeniu skutków rozkładu prawdopodobieństwa wartości przyszłej (np. grube ogony).
Istnieją ryzyka, których nie można obniżyć ani uniknąć. Na wypadek ich wystąpienia należy przygotować plan i procedury postępowania. Przygotowanie planów i procedur postępowania to nie niepotrzebna biurokracja. Działania te skutecznie zastosowane redukują atmosferę kryzysową, obniżają prawdopodobieństwo popełniania błędów w stresie kryzysu. Minimalizują czas kontrreakcji co może mieć kluczowe znaczenie nie tylko dla firmy ale i dla ludzi znajdujących się w takiej sytuacji.
Posiadanie gotowych procedur „na wypadek” pozwala kierownictwu kierować procesem funkcjonowania firmy efektywnie a nie zajmować się „gaszeniem pożarów” kolejnych problemów.
Oczywiście procedury awaryjne i postępowania w sytuacjach kryzysowych wymagają nie tylko opracowania i przygotowania ale i wdrożenia, praktycznego szkolenia i … wspominanej, kontroli wewnętrznej czy działają dobrze.
Ćwiczenia pożarowe
Osobom które czytają teraz ten tekst z powątpiewaniem polecamy wykonanie następującego eksperymentu. Do przeprowadzenia tego eksperymentu potrzebny będzie stoper albo inne urządzenie do pomiaru czasu. Proszę na wstępie odpowiedzieć na pytanie: Kiedy ostatni raz braliście udział w ćwiczeniach działań na wypadek pożaru w instytucji, miejscu, w której akurat przebywacie?
Spodziewamy się uśmiechu i chyba znamy odpowiedź.
A teraz włączcie stoper. Właśnie usłyszeliście sygnał ostrzegający, że wybuchł pożar. Co zrobicie najpierw? Którędy, jaką drogą opuścicie pomieszczenie? Zróbcie to. Ile czasu Wam to zabrało? Czy były po drodze miejsca gdzie mogliście spotkać innych uciekających, których zachowanie mogłoby utrudnić Wam ucieczkę? Schody, Windy.?? W którą stronę należało uciekać? W górę czy w dół? Gdzie założyliście wybuch pożaru ? A co gdy właśnie jest zlokalizowany na drodze Waszej ucieczki?
Dobrze, uratowaliście się. Ile czasu wam to zabrało? Czy można szybciej?
A czy pomyśleliście o innych?? A o kim? Co mogliście zrobić dla nich? Może wiążą Was z nimi jakieś zobowiązania? A co zrobiliście dla zabezpieczenia przyszłości instytucji w której się znajdujecie (przyszłego jej funkcjonowania)? Czy coś i co należało wyłączyć? Co z danymi? Wynikami badań? Ile czasu to zabiera?
Robicie to w spokoju i bez stresu, a co będzie jak wybuchnie panika? Co wskazuje czasomierz? Powtórzcie po pewnym czasie przemyślony już zestaw czynności. Ile czasu Wam to teraz zabrało?
Takie ćwiczenie jest pomocne by zrozumieć znaczenie procedur i ich wyszkolenia. Pożar dość łatwo sobie wyobrazić natomiast inne zdarzenia (np. zamieszanie na rynku finansowym i to z jakimi reakcjami mamy wtedy do czynienie) raczej trudno sobie tak na poczekaniu wymyślić.
Zarządzanie ryzykiem to proces i to proces ciągły. Dokumentuj zarządzanie ryzykiem i zapisz przyczyny stojące za wybranymi ryzykami i jakie sposoby przeciwdziałania im wybrano i zastosowano. Co i kto zrobił. Taka dokumentacja jest bardzo cenna. To na jej podstawie można później ocenić czy plany i procedury są efektywne, co zawiodło? Co było właściwym zachowaniem. Co poprawić.?
Ustal i zapisz kto za co odpowiada. Monitoruj i oceniaj proces zarządzania ciągle. Błędów nie robią tylko Ci, którzy nic nie robią albo ich ograniczenia mentalne uniemożliwiają im zauważenie robienia błędów. Próby ukrycia popełnionych błędów to oznaka konfliktu interesów. „Ja” jestem przecież dobrym pracownikiem, musze ukryć błąd bo nie będę uważany za dobrego, bez względu na to ile to będzie kosztować organizacje. Czynnik ludzki w zarząadzaniu ryzykiem jest ważny. Natura ludzka pcha ludzi często nieświadomie ku ryzyku.
13.6.2. Monitorowanie i ciągła weryfikacja procesu zarządzania ryzykiem¶
Zmieniające się otoczenie weryfikuje przyjętą strategie zarządzania ryzykiem. Zmienność wymusza okresowy przegląd sytuacji i ponowne analizowanie sytuacji. Okresowe przeglądy sytuacji ryzyka pozwalają na wychwycenia i ocenę zmian prawdopodobieństwa wystąpienia ryzyk oraz ewentualnych zmian ich skutków. Monitoring i ciągła analiza pozwala na wprowadzenie zmian w zaplanowanych działaniach unikania/łagodzenia ryzyka. Jest koniecznym by sprawdzać czy przyjęte zabezpieczenia nadal są właściwymi i czy koszt ich stosowania jest nadal usprawiedliwiony. Ponowny przegląd jest robiony jako powtarzająca się procedura w równych odstępach czasu jeśli zmiany w otoczenie nie są zmianami gwałtownymi. W przypadku tych drugich każde wystąpienie dużej zmiany powoduje konieczność kolejnego przeglądu. Periodyczne przeglądy pozwalają na identyfikacje nowych zagrożeń nie występujących w czasie poprzedniego przeglądu i aktualizacji. Każdy pracownik na swoim stanowisku informuje o dostrzeżonym przez siebie ryzyku przełożonych. Ci z kolei powinni spowodować by informacja ta dotarła do osób odpowiedzialnych za zarządzanie ryzykiem.
Jeśli w czasie monitorowania zauważone zostają ryzyka, które mogą spowodować kłopoty dla klientów, firma powinna o tym poinformować swoich klientów. Powodem takiego działania jest słowo- ” swoich”. Na rynku każdy działa na własny ryzyko i swoją odpowiedzialność. Ale zawsze, jeśli klient nie do końca rozumie wyrafinowane transakcje finansowe jakie za pomocą „ swojej” instytucji zawiera a które doprowadzą do strat,w każdym przypadku (przykład - opcje sprzedawana polskim firmom w 2008 roku, Orange County, itd.) klient w przypadku strat będzie na drodze sądowej starał się dochodzić zadośćuczynienie od „ swojej” instytucji finansowe. Bez względu na to czy klient ma racje albo inaczej czy racje jego uzna sąd, reputacja „Waszej” instytucji jest narażona na ryzyko utraty lub uszczerbku.
13.6.3. Skuteczność zarządzania ryzykiem¶
Stworzenie systemu skutecznego w zarządzaniu ryzykiem nie polega jedynie na przygotowaniu procedur i formalnego wpisania go w system zarządzania instytucją. Zarządzanie ryzykiem to proces złożony, opierający się na szerokim i powszechnym zrozumienie sensu operacji i instrumentów których się używa i oferuje klientom. Wymaga szkoleń wstępnych i przygotowania odpowiedniej kultury wewnątrz organizacji. Ta kultura i to że proces ten działa jest podstawą by nie został tylko zbiorem nudnych zapisów procedur, których nikt nie czyta ani nie stosuje. Jest podstawą jego efektywnego działania. Każdy pracownik powinien czuć, że uczestniczy w czymś co jest ważne dla firmy i widzieć, ze rzeczywiście tak jest. Kluczowym dla skuteczności tego procesu jest osobiste zaangażowanie Zarządu w ten proces. Wiele regulacji prawnych w wielu krajach nakłada na Zarząd (instytucji finansowych) obowiązek i odpowiedzialność za zarządzanie ryzykiem w firmie.
Na każdym poziomie operacyjnym i w każdej operacji powinna być obecna kultura zarządzania ryzykiem i świadomość jego występowania oraz konieczność kontrolowania. Zasady funkcjonowania organizacji powinny być jasne, transparentne a szczególnie sposoby podejmowania decyzji. Unikanie konfliktu interesów powinno być podstawą myślenia o strukturze działań organizacji. W trudnych przypadkach najczęściej zawodzi człowiek. Zawodzi głównie dlatego, że uwikłany jest w konflikt interesów nie zawsze z własnej winy. Ten konflikt może przejawiać się w bardzo pozornie niewinnych zachowaniach. Patrząc na przykłady kłopotów Orange County, Barings Banku, Societe Generale widać, że „bohaterami „ tych historii byli wybitni specjaliści. Osoby uznawane za najlepsze. Każdy człowiek bardzo chce być uznawany za dobrego w tym co robi, tak wiec w chwili pomyłki stara się, najczęściej, ją ukryć by naprawić ją w przyszłości. Często jest wspierany praz najbliższych kolegów, którzy w poczuciu solidarności kryją jego błędy obserwując jak stara się odrobić straty. Stają się z czasem współwinnymi i kryją błąd dalej. To z reguły doprowadza do tego, że błąd, kiedyś mały staje się dużym. Często prowadzącym do upadku wielkich organizacji. W wymienionych wyżej przykładach upadków widać, że niemożliwym jest by ich „ bohaterowie „ działali samotnie bez wiedzy i wsparcia kolegów z pracy. Gdyby ich błąd wykazał system zarządzana ryzykiem zaraz na początku, ewentualna strata byłaby mała i łatwa do odrobienia albo łatwiejsza do absorpcji. „ Pomoc koleżeńska” i „przymykanie oka” przy omijaniu procedur (aby być ludzkim przyjacielem a nie formalistą) często prowadzi do dużych kłopotów mimo, że wynika, jak się wydaje z pobudek dobrych i humanitarnych.
W tworzeniu procedur i planowaniu musi być jasno zdefiniowana odpowiedzialność. Kto za co odpowiada i dlaczego należy sprawdzić osobiście i podpisać decyzje podpisaną już przez kolegę.
Działaniom musi towarzyszyć poczucie wspólnoty działania, współpracy w sukcesie i w niepowodzeniach. Aby system mógł działać sprawnie dobra komunikacja jest bezwzględnie konieczna. Działać dobrze „w dół” jak i w „górę” a nawet między działami organizacji.
Skutecznie działające zarządzanie ryzykiem pozwala na realizację podstawowego oczekiwania stawianego instytucji komercyjnej czyli na tworzenie i wzrost wartości firmy. Zapewnia jej ciągłość działania i osiąganie stawianych sobie celów. Stabilizuje dochody. Zarządzenie ryzykiem musi być ciągle doskonalone a działania podejmowane w tym zakresie muszą uwzględniać koszty zarządzania ryzykiem, które nie powinny nadmiernie wzrastać.
Organizując zarządzanie ryzykiem w instytucji finansowej należy sobie postawić trzy kluczowe cele:
Pomiar - jak pomierzyć ryzyko?
Jaki system software będziemy wykorzystywać do tego celu. Z kim ( jaką instytucją) powinniśmy być kompatybilni? Często bowiem nasza jednostka organizacyjna wchodzi w skład innych jednostek organizacyjnych i przyjmujemy wspólny system obrabiania danych. Najczęściej pomiarem ryzyka będzie jakaś odmiana Value at Risk. Ta metoda zostanie omówiona w kolejnych rozdziałach niniejszego opracowania. Kluczowym jest decyzja o przyjętych modelach wyceny. Należy bowiem pamiętać, że firma jest tak bezpieczna, jak bezpieczne są jej modele.
Procedury - kto co robi?
Należy bardzo dobrze znać produkty i instrumenty finansowe, których się używa lub które się sprzedaje. Znać wszelkie możliwe ryzyka jakie się z nimi wiążą. Do tego dochodzą ryzyka operacyjne. Mając przygotowane listę tych ryzyk należy zaplanować, stworzyć, bądź dostosować istniejące procedury tak, by powstały opisy działania w trakcie rutynowych operacji jak i w sytuacjach kryzysowych. Procedury określają co i kto robi w opisanych sytuacjach. Z nich wynikają przydziały czynności i podziały obowiązków. Procedury określają, kto zatwierdza decyzje i działania, kto sprawdza poprawność wykonania etc. Z działaniami wiąże się odpowiedzialność, którą procedury muszą określać i zakres raportowania i rodzaj dokumentów które muszą powstać w opisanych sytuacjach. Procedury muszą wynikać i być zgodne z regulacjami wewnętrznymi i regulacjami zewnętrznymi (np. Nadzoru Finansowego. Zgodność regulacji to osobne źródło ryzyka prawnego.
Procedury powinny być jasne i stosowane. Świadomość problemów zarządzania ryzykiem powinna być jak najszersza wśród pracowników. Kontrolowanie ryzyka to również określanie (przydział) limitów na poszczególne operacje, instrumenty. Przydział limitów zaczyna się od góry i obejmuje poszczególne działy organizacji i poszczególne stanowiska i instrumenty. Z limitów wynika jak wielkie transakcje i kto ma prawo zawierać. Jest to szczególnie istotne w przypadku osób prowadzący operacje na rynkach walutowych, kapitałowych, kupujących/ sprzedających instrumenty finansowe, inwestujących powierzone środki bądź zarządzających portfelem firmy. Limity nie tylko dotyczą wielkości pozycji zajętej ale dotyczą też stóp procentowych. Muszą odpowiadać przyjętej i określonej dywersyfikacji ze względu na walutę i zapadalność, tak aby uniknąć nadmiernej koncentracji. Limity powinny określać listę instrumentów dozwolonych. W tym miejscu należy podkreślić ryzyko instrumentów pochodnych i limitów na nie (wielkość zobowiązania oraz wielkość depozytu zabezpieczający- problem konieczności uzupełniania). Limity również powinny zawierać określenie maksymalnej straty jaką można ponieść na danej pozycji. Jeśli strata osiągnie limit, pozycja musi być bezwzględnie zlikwidowana. W działaniach rynkowych musi być wprowadzona zasada wyceny instrumentów (aktywów i pasywów) jako Mark - to market czyli po aktualnych wycenach rynkowych i ustalać limity księgowe dla narastających pozycji. Ustalanie limitów to również liczenie VaR- zagregowanej ekspozycji jako potencjalna strata ustalenie limitu na tę wartość. Ustalenie limitów jest wymagane przez Risk Managera (osobę odpowiadającą w organizacji za zarządzanie ryzykiem) i zatwierdzone przez Zarząd. Limity muszą być zaimplementowane w odpowiednich systemach i sprawdzane na koniec dnia przez Kontrole Finansową oraz na bieżąco kontrolowane przez Risk Managera.
Komunikacja - dochodzenie do tak lub nie
W całym procesie zarządzania ryzykiem istotna jest komunikacja. Zarządzanie ryzykiem to działanie zespołowe. Przepływ informacji nie tylko musi być zapewniony „ z góry „ na dół” ale i też w kierunku odwrotnym oraz między działami i pracownikami. Właściwa komunikacja to nie tylko przepływ informacji ale i podejmowanie wspólnych działań i dokonywanie wspólnej oceny. Informacja, która pojawia się w systemie musi powodować reakcje i to reakcje jednoznaczną. Ocena sytuacji na podstawie dochodzących informacji musi zakończyć się jednoznaczną decyzją. Jednoznacznie należy określić „ tak „ implementujemy określone działanie lub „nie” nie robimy tego. Ryzyka nie da się uniknąć ale daje się nim zarządzać. Właściwa komunikacja i świadomość zarządzania ryzykiem pozwala na jego ocenę a podejmowane działania czynią go akceptowalnym. Jest to możliwe jeśli pracownicy są świadomi problemów a informacje o pojawieniu się ryzyka dociera do właściwych ludzi w organizacji na czas.
Okresowy monitoring tego co zaszło, dzienne pozycje powinny być analizowane na szczeblu działów jak i na szczeblu centralnym. Wyniki raportów ze stress testów powinny być omawiane w gronie kierownictwa. Służby zarządzania ryzykiem przygotowują raporty tygodniowe i miesięczne, które to raporty są prezentowane i omawiane przez kierownictwo organizacji.
Funkcje zarządzania ryzykiem ewoluują w czasie. Aby zarządzać skutecznie należy włączyć w zarządzanie ryzykiem kierownictwo i wszystkich pracowników. Zarząd organizacji musi być odpowiedzialny za zarządzane ryzykiem. Procedury i działania powinny być zaprojektowane uważnie. Decyzje personalne czyli właściwe obsadzenie stanowisk analizy ryzyka i jego monitorowania jest niezmiernie ważną sprawą. Odpowiednie zaplecze technologiczne jest niezmiernie istotne, dane muszą być aktualne i prawdziwe a modele wyceny godne zaufania. Bowiem organizacja jest tak bezpieczna jak dobre i bezpieczne są modele, których używa.
