Obecnie funkcjonuje wiele aktów prawnych zawierających regulacje odnoszące się do tematyki ryzyka operacyjnego. Do szczegółowej analizy wybrałem dwie ustawy pochodzące z krajów o różnych porządkach prawnych. Pierwszą z nich jest uchwalona przez niemiecki Bundestag w 1998 r. ustawa Gesetz zur Kontrolle und Transparentz im Unternehmenbereich (KonTraG), natomiast drugą jest amerykańska ustawa z 2002 r. Sarbanes-Oxley Act (SOX).
Niemiecka ustawa o kontroli i przejrzystości w przedsiębiorstwach, KonTraG, uchwalona została 1 maja 1998 r. i zaczęła obowiązywać od 31 grudnia tego samego roku. Ustawa ta jest znowelizowanym wariantem wcześniej uchwalonej ustawy o spółkach akcyjnych Aktiengesetz (AktG). Uregulowanie to wymaga od niemieckich spółek akcyjnych wprowadzenia systemowych rozwiązań w zakresie zarządzania ryzkiem, obejmujących identyfikację, pomiar, monitorowanie ryzyka, tworzenie systemów wczesnego ostrzegania oraz przekazywanie do publicznej wiadomości informacji o istniejących zagrożeniach. Ustawa wymaga dokonania podziału zidentyfikowanych rodzajów ryzyka na zagrażające istnieniu firmy oraz na ryzyka drobne. W praktyce gospodarczej pojawia się jednak problem z przyjęciem kryterium podziału związany przede wszystkim z trudnościami w ilościowym ujęciu niektórych rodzajów ryzyka. Dodatkową komplikacją jest to, że wiele ryzyk trudno mierzalnych ma wpływ na poziom ryzyk poddających się wycenie. Powstała koncepcja, że ryzyko pierwszego rodzaju powstaje z chwilą pochłonięcia połowy kapitału zakładowego. Ponieważ jednak wielkość ta niewiele mówi o kondycji firmy, zaproponowano rezygnację z wielkości bilansowych i sięgnięcie po przepływy gotówkowe i inne pewniejsze wskaźniki. Ryzyka trudno mierzalne natomiast porządkuje się według arbitralnie nadawanych wag190. Regulacje te nakładają obowiązek implementacji w ten sposób rozumianych systemów na Zarządy i Rady Nadzorcze191. W przypadku zaistnienia kryzysu w organizacji Zarząd musi udowodnić, że dołożył staranności, aby zidentyfikować i oszacować wszelkie ryzyko, mogące negatywnie wpłynąć na sytuację finansową przedsiębiorstwa oraz, że zostały podjęte
188 Hasan M., Kerr R., The relationship between total quality management practices and organizational
performance in service organizations, The TQM Magazine 15/2003, s. 287- 290 189
Por. Scipioni A., Arena F., Villa M., Saccarola G., Integration of management systems, Environmental Management and Health, 12/2001, s. 134-145, według tych autorów podstawowymi korzyściami integracji omawianych systemów zarządzania są: skrócenie okresu i zmniejszenie kosztów implementacji systemu oraz unikniecie podwójnego uwzględniania czynników ryzyka.
190 Masny M., Zarządzanie ryzykiem jako wymóg Corporate Governance, Przegląd prawa Handlowego 9/2002
niezbędne działania zabezpieczające. Zgodnie z koncepcją zawartą w ustawie zadaniem Zarządu jest podejmowanie właściwych środków, a szczególnie wdrożenie adekwatnego systemu nadzoru, aby wcześnie wykrywać zdarzenia zagrażające dalszemu istnieniu spółki. W przypadku korporacji obowiązek Zarządu spółki rozciąga się na spółki zależne. W sprawozdaniach publikowanych przez firmy musi być zawarta informacja o ryzykach związanych z przyszłą działalnością spółki. Sprawozdania tego typu zawierają część prognostyczną192
i raport o zagrożeniach, czyli o potencjalnych odchyleniach od prognozowanych wyników. KonTraG nakłada na firmy obowiązek przeprowadzania niezależnego audytu. Biegły rewident jest zobowiązany do publicznego wykazywania wszelkich nieprawidłowości zachodzących w systemie zarządzania ryzykiem. Informacyjny obowiązek audytora dotyczy również oceny trafności prognoz zawartych w sprawozdaniach spółek. Implementacja zasad zawartych w ustawie umożliwia łagodzenie kwestii spornych dotyczących warunków kontraktu pomiędzy inwestorami, a zarządzającymi firmą. Powodem sporów jest to, że nie zawsze działania podejmowane przez menadżerów firmy są przyjmowane z zadowoleniem przez posiadaczy kapitału. Wyegzekwowanie swoich praw przez inwestorów jest trudne z uwagi na to, że istnieje niedobór środków prawnych zabezpieczających ich interesy lub też struktura informacji generowanych przez firmę nie pozwala jednoznacznie zidentyfikować ich naruszenia. Ustawowe uregulowania dotyczące tej kwestii spowodowały rozpowszechnianie się rozwiązań gwarantujących ex ante wzrost wartości firmy. W ten schemat wpisuje się również proces zarządzania ryzykiem operacyjnym. Z uwagi na to, że wdrożone systemy kontroli wewnętrznej umożliwiają ex ante zapobieganie potencjalnym zagrożeniom w ten sposób by uchronić firmę od spadku jej wartości. Ustawa dotyczy wprawdzie spółek akcyjnych, ale intencją ustawodawcy jest, by zaprezentowane w niej uregulowania odnoszące się do systemów zarządzania ryzykiem zostały zaimplementowane również w pozostałych podmiotach gospodarczych.
W efekcie wielu głośnych bankructw i skandali finansowych – z których najgłośniejsza była tzw. afera Enron - w 2002 roku w Stanach Zjednoczonych uchwalono ustawę Sarbanes-Oxley (SOX)193
. Przepisy ustawy Sarbanes-Oxley weszły w życie z początkiem 2003 roku. Z ta datą zarządy spółek giełdowych zobowiązane zostały do wdrożenia kompleksowego systemu kontroli wewnętrznej, gwarantującego skuteczność oraz możliwość weryfikacji uzyskanych wyników. Głównym celem nowych przepisów jest zapewnienie wiarygodności danych finansowych prezentowanych przez spółki giełdowe. Jeden z najważniejszych zapisów ustawy dotyczy ustanowienia w organizacji odpowiednich mechanizmów kontrolnych oraz wdrożenia mechanizmu ich systematycznego audytowania. Chociaż SOX jest ustawą amerykańską to zdefiniowane w niej wymagania muszą być również stosowane przez międzynarodowe korporacje i grupy kapitałowe – jeżeli tylko ich akcje są notowane na giełdzie w Stanach Zjednoczonych. W efekcie zapisy SOX muszą być wdrożone w wielu przedsiębiorstwach działających na całym świecie w tym również w Polsce. Największy wpływ na proces zarządzania ryzykiem operacyjnym wywierają dwa paragrafy omawianej ustawy, a mianowicie paragraf 404 i 409194. Obydwa odnoszą się do systemów kontroli wewnętrznej. Zgodnie z paragrafem 404, przedsiębiorstwa muszą każdego roku dokonywać oceny efektywności swoich systemów kontroli wewnętrznej, które wpływają na raportowanie finansowe. Ten zapis ustawy pośrednio odnosi się również do systemów informatycznych wykorzystywanych w działalności firmy. Wprawdzie SOX nie odwołuje się wprost do technologii informatycznych jednak spełnienie wymogu posiadania efektywnych, aktualnych i kompleksowych systemów kontrolnych zależy w dużej mierze od sprawności
192 w praktyce w sprawozdaniach przyjmowany jest 12-miesięczny termin prognozy
193 Pełny tekst ustawy dostępny jest na http://pcaobus.org/About_Us/Sarbanes_Oxley_Act_of_2002.pdf
194
Morrison A., Sarbanes Oxley, Corporate Governance and Operational Risk, Sarbanes-Oxford Seminar, 22 July 2004
funkcjonujących w firmie systemów informatycznych. Stąd chcąc dostosować się do wymogów SOX przedsiębiorstwa muszą prowadzić stały monitoring prawidłowości działania procesów odpowiedzialnych za przetwarzanie danych. Natomiast Paragraf 409 ustawy zawiera zapis nakładający na firmy obowiązek posiadania takiego systemu kontroli, który umożliwiałby dostęp do niezbędnych danych niemal w czasie rzeczywistym i pozwalał na bieżąco identyfikować zagrożenia. Zalecenia dotyczące pomiaru, raportowania i wykorzystywania danych są zbieżne z modelowym procesem zarządzania ryzykiem operacyjnym. Konsekwencje zrealizowania się zagrożeń o charakterze operacyjnym nie zawsze są tak spektakularne jak nagłośnione przez media przypadki banku Barrings czy Metallgeselshaft A.G. Chociaż niedostarczenie na czas towaru, niewłaściwe rozliczenie transakcji, czy defraudacja pracownika nie muszą skończyć sie bankructwem firmy to mogą wywołać trudną do odbudowania utratę reputacji czy też spadek kursu akcji. Definicja ryzyka operacyjnego przyjęta w ustawie rozszerza propozycję Komitetu Bazylejskiego195
o ryzyko utraty reputacji. W odniesieniu do tej kwestii zapisy ustawy stwierdzają, że aktywne zarządzanie ryzykiem operacyjnym umożliwia zminimalizowanie ryzyka utraty reputacji, a tym samym wzrost rynkowej wartości firmy. Bezpośrednią konsekwencją paragrafu 409 omawianej ustawy jest nałożenie na wszystkie amerykańskie korporacje a także przedsiębiorstwa spoza USA, ale notowane na amerykańskiej giełdzie obowiązku aktywnej polityki względem ryzyka operacyjnego. Pomiar ryzyka operacyjnego pozwala korporacjom rozwinąć obiektywne kryteria analizy wewnętrznego systemu kontroli196
. Kontrola wewnętrzna sprowadza sie do działań zmierzających do uzyskania rzetelnej i niezależnej informacji dotyczącej legalności, gospodarności oraz przejrzystości funkcjonowania badanej jednostki197. W praktyce, ryzyko operacyjne jest szacowane przy wykorzystaniu jednego z dwóch podejść. Podejście top-down dotyczy metod opartych o makro parametry, natomiast podejście bottom-up opiera się na danych pochodzących z analizy poszczególnych procesów działalności. Najprostsze model top- down biorą pod uwagę wartość ogólnego obrotu oraz wykorzystują historyczne doświadczenia spółek o podobnym profilu w celu ekstrapolacji informacji o potencjalnych stratach operacyjnych. Bardziej zaawansowane modele tej koncepcji do oszacowania wartości ryzyka wykorzystują poziom zmienności dochodu. Często wykorzystywanymi narzędziami dotyczącymi tej koncepcji jest metoda symulacji Monte Carlo i metodologia Wartość Narażona na Ryzyko (VaR)198
wykorzystywana do raportowania strat. Obliczenie wartości VaR może być bardzo efektywnym narzędziem dla zarządzających ryzykiem, pozwala w prosty sposób porównać poszczególne procesy działalności. Jednak w przypadku wykorzystywania metodologii VaR do raportowania strat o charakterze operacyjnym należy zwrócić szczególną uwagę żeby nie przypisywać do nich strat odnoszących się do innych rodzajów ryzyka. Ryzyko operacyjne w przeciwieństwie do ryzyka rynkowego jest z definicji endogeniczne co oznacza, że jest konsekwencją
195 Definicja ryzyka operacyjnego według BIS brzmi: „ryzyko bezpośredniej lub pośredniej straty będącej skutkiem niedostosowania lub zawodności wewnętrznych procesów, ludzi, systemów technicznych lub zdarzeń zewnętrznych” na podst. Basel Committee on Banking Supervision, International Convergence of Capital Measurement and Capital Standards a Revised Framework, Bank for international Settlements, Basel, 2004 , s.137
196 Netter, J. M., Poulsen A., Operational Risk in Financial Service Providers and the Proposed Basel Capital
Accord: An Overview , Advances in Financial Economics, Vol. 8 2003, s. 148
197 por. The Institute of Internal Auditors, Standards for the Professional Practice of Internal Auditing, Altamonte Springs, Florida 2001
198 Metody oparte o VaR od kilkunastu lat wykorzystywane są z powodzeniem w sektorze bankowym w odniesieniu do analizy ryzykowności portfela akcji, obligacji czy instrumentów pochodnych. Wartość VaR to po prostu percentyl rozkładu straty w określonym horyzoncie czasowym. Przykładowo dla tygodniowego okresu na 99% poziomie istotności wartość VaR wynosi 1 mln USD oznacza to, że w ciągu tygodnia z prawdopodobieństwem 99% firma nie straci więcej niż 1 mln USD. Wartość VaR u nie zawiera w sobie informacji na temat wysokości potencjalnej straty w odniesieniu do pozostałego 1% prawdopodobieństwa.
codziennych wyborów podejmowanych przez pracowników i że te wybory są konsekwencją środowiska w którym pracują oraz sposobów ich wynagradzania i kontrolowania. Wdrożenie sprawnego systemu zarządzania ryzykiem operacyjnym wpłynie na zmiany dotychczasowych wzorców zachowań co z kolei wywoła zmniejszenie ekspozycji na ryzyko. Z tego powodu należy sceptycznie podejść do wyniku pomiaru poziomu ryzyka operacyjnego przeprowadzonego w oparciu o dane historyczne pochodzące z okresu przed wprowadzeniem systemu zarządzania ryzykiem. Szczególna ostrożność należy zachować w przypadku wartości VaR wygenerowanej przy wykorzystaniu modeli pomiaru typu top down ignorujących mikro ekonomiczne efekty nowych systemów kontroli wewnętrznej, struktury sprawozdawczości czy niezależnej komisji rewizyjnej. Krótko mówiąc w kontekście analizowanej ustawy, żeby skutecznie zarządzać ryzykiem operacyjnym należy zidentyfikować te obszary w których podjęte działania wpłyną pośrednio lub bezpośrednio na wzrost wartości firmy. Koncepcja zarządzania ryzykiem zgodna z duchem Sarbanes Oxley Act odnosi się w głównej mierze do wdrożenia systemów kontrolnych pozwalających na bieżąco łagodzić kluczowe ryzyka wszystkich procesów biznesowych199.
Z uwagi na to, że zarówno standardy Dobrych Praktyk jak i przytoczone uregulowania legislacyjne w zakresie zarządzania ryzykiem operacyjnym kładą szczególny nacisk na systemy kontroli wewnętrznej przedmiotem dalszej analizy będzie badanie roli controllingu i kontroli wewnętrznej w systemie zarządzania ryzykiem operacyjnym w przedsiębiorstwie.