Zarząd ponosi odpowiedzialność za identyfikację i zarządzanie ryzykiem

Artykuł autorstwa eksperta PKF (Ewa Jakubczyk-Cały) został opublikowany na portalu www.wnp.pl w dniu 21 września 2011 r.

Obowiązki organów spółek w zakresie identyfikacji i zarządzenia ryzykiem.

Jest oczywiste, że prowadzenie działalności gospodarczej wiąże się z ryzykiem. Jeżeli ryzyko takie podejmuje osoba fizyczna prowadząca działalność, to robi to we własnym imieniu i na własny rachunek.

W wielu przypadkach mamy jednak do czynienia z sytuacją, że inwestorzy powierzają prowadzenie spraw spółki menedżerom (zarządom) oczekując określonego i stabilnego zwrotu z kapitału w postaci wzrostu majątku (akcji/udziałów) lub dywidendy. Obecne regulacje nakładają na zarządy spółek obowiązek identyfikacji i zarządzania ryzykiem obciążającym spółki. Do kontroli realizacji tych czynności zobowiązana jest rada nadzorcza sprawując nadzór nad całokształtem działalności spółki. W spółkach, których akcje znajdują się w publicznym obrocie ustawodawca nałożył obowiązek powołania komitetów audytu, jeżeli rada nadzorcza składa się z więcej niż 5 osób, natomiast w przypadku nie spełnienia tego warunku zadania komitetu audytu wykonywać powinna kolegialnie rada nadzorcza. Właśnie komitety audytu powinny w imieniu rady nadzorczej realizować czynności nadzoru nad zarządzaniem ryzykiem, kontrolą wewnętrzną, systemem sprawozdawczości.

Uszczelniając krąg regulacji od 1.01.2009 roku stworzono współodpowiedzialność rady nadzorczej za sprawozdawczość spółki.

Konkludując, w odrębnych aktach prawnych tj.: kodeksie spółek handlowych, ustawie o rachunkowości, ustawie o biegłych rewidentach i ich samorządzie stworzono system regulacji tworzący razem spójny obraz obowiązków zarządów i rady nadzorczej w zakresie identyfikacji i nadzoru nad zarządzaniem ryzykiem.

Jakie kryteria należy stosować dla identyfikacji ryzyka?

Ogólnie ryzyka prowadzenia działalności dzielimy na dwie podstawowe grupy: systematyczne i niesystematyczne.

Ryzyko systematyczne(zewnętrzne, rynkowe, niedywersyfikowalne) pochodzi z zewnątrz i nie może być kontrolowane przez jednostkę gospodarczą. Źródłami tego ryzyka są warunki ekonomiczne oraz siły przyrody. Ryzyko systematyczne można podzielić na:

• ryzyko stopy procentowej, które jest związane ze zmianami stóp procentowych na rynku i wpływa na poziom dochodów poszczególnych uczestników rynku oraz zmianę wartości instrumentów finansowych opartych na stopie procentowej,
• ryzyko walutowe, które powstaje w wyniku zmian kursu walut i związane jest z przepływami pieniężnymi z transakcji zawieranych z kontrahentami zagranicznymi,
• ryzyko zmian kursów akcji, które związane jest z ogólną sytuacją gospodarczą zarówno krajową, jak i ogólnoświatową, od której zależą ceny na rynku akcji,
• ryzyko siły nabywczej, które jest związane ze zjawiskiem inflacji i zmianą siły nabywczej pieniądza,
• ryzyko polityczne, które jest efektem prowadzonej przez elity rządowe polityki,
• ryzyko wydarzeń, które występuje w związku z możliwością zaistnienia nieoczekiwanych zdarzeń mających wpływ na sytuację jednostki gospodarczej.

Ryzyko niesystematyczne(wewnętrzne, specyficzne, dywersyfikowalne) zależne jest od decyzji podejmowanych w jednostkach gospodarczych. Do ryzyka tego zaliczyć można:

• ryzyko nie dotrzymania warunków, które wynika z nie wywiązywania się z warunków umowy przez jedną z jej stron,
• ryzyko zarządzania, które jest efektem błędnych decyzji podejmowanych w jednostce gospodarczej,
• ryzyko biznesu, które wynika ze zmienności dochodów uzyskiwanych przez emitenta instrumentu finansowego,
• ryzyko bankructwa, które odzwierciedla ewentualność upadku jednostki gospodarczej,
• ryzyko rynkowej płynności, które dotyczy jednostek gospodarczych finansujących swoją działalność kapitałem obcym i wiąże się z możliwością utraty płynności finansowej,
• ryzyko reinwestowania, które występuje, gdy dochody inwestora są reinwestowane po innej stopie procentowej niż stopa zwrotu zapewniona inwestorowi,
• ryzyko zmiany ceny, które odzwierciedla możliwość niekorzystnych zmian cen,
• ryzyko wykupu na żądanie, które dotyczyć może np. decyzji odnośnie do wcześniejszej spłaty kredytu bądź wcześniejszego wykupu obligacji z opcją z uwagi na zmianę stóp procentowych.

Przykładowe obszary identyfikacji i monitorowania ryzyka nie stanowiące jednak katalogu zamkniętego to ryzyko cenowe (walutowe, stopy procentowe, rynkowe), ryzyko kredytowe, ryzyko płynności, czy ryzyko przepływu środków pieniężnych. Istotną rolę mogą odgrywać ryzyka operacyjne/ryzyka zarządzania m.in. związane z zasobami majątkowymi (prawne i operacyjne), pracownicze, ochrony środowiska, związane z procesami i praktykami biznesowymi, klientami i sprzedażą, związane z zarządzaniem procesami wytwórczymi, produktami, dostawcami, ryzyka informatyczne, ryzyka podatkowe, ryzyka defraudacji, oszustw i wycieku informacji.

Jak zabezpieczać ryzyka?

Są dwa główne zabezpieczenia: przez fizyczną kontrolę ryzyka lub finansową kontrolę ryzyka.

Fizyczna kontrola ryzyka to unikanie ryzyka (co nie w każdym przypadku daje pożądane rezultaty) lub jego redukcja przez fizyczne zabezpieczenia, procedury ochronne (bo przecież jak mówi przysłowie: „otwarte drzwi to i świętego kuszą”).

Natomiast finansowa kontrola ryzyka następuje poprzez jego zatrzymanie (np. w formie sprzedaży ryzykownych aktywów, zabezpieczenie alternatywnego finansowania, wyrównanie pozycji walutowych) lub poprzez transfer ryzyka na stronę trzecią np. subkontrakty zabezpieczające, polisy ubezpieczeniowe, klauzule w umowach wyłączające odpowiedzialność.

Jak w praktyce podchodzić do identyfikacji ryzyka?

Jednym ze stosunkowo prostych narzędzi jest tworzenie tzw. „mapy ryzyka”.

Mapa ryzyka – prezentuje w formie graficznej relacje pomiędzy prawdopodobieństwem wystąpienia niepożądanego zdarzenia a jego wpływem na realizację celów spółki. Wszystkie procesy obarczone największym ryzykiem mogące powodować największe szkody, stanowią obszary decyzji w sprawie unikania, redukcji lub finansowej kontroli ryzyka oraz stałego monitorowania.

Sporządzanie mapy ryzyka w poszczególnych obszarach polega na identyfikacji ryzyka, określeniu na skali prawdopodobieństwa jego wystąpienia oraz wpływu ryzyka na cele spółki. Mapa ryzyka podlega ciągłej aktualizacji z uwzględnieniem szacowania wpływu zabezpieczeń zastosowanych przez spółkę.

Sporządzając mapę ryzyk określonemu zidentyfikowanemu ryzyku na osi współrzędnych szacujemy pomiar:

• prawdopodobieństwa wystąpienia niekorzystnego zdarzenia (punktacja np. od 1 do 10),
• potencjalnego wpływu niekorzystnego zdarzenia na cele spółki (punktacja od 1 do 10).

Taka mapa pozwoli graficznie wskazać ryzyka o dużym prawdopodobieństwie wystąpienia i posiadające duży wpływ na osiągnięcie celów spółki. W tej grupie priorytetem jest szybkie podjęcie działań zarządczych. Następne grupy charakteryzować się będą mniejszym prawdopodobieństwem wystąpienia lub nikłym wpływem na strategię.

Dlaczego problem identyfikacji ryzyka, sprawozdawczości stał się tak istotny w ostatnim czasie

Bezpieczeństwo, stabilność, pieniądze: coraz częściej właśnie w takiej kolejności układa się hierarchia wartości inwestorów. Natomiast rynek jest coraz bardziej konkurencyjny i coraz trudniej na nim działać. Afery związane z upadłością potentatów finansowych nie wystąpiłyby przecież, gdyby system zarządzania i nadzoru nad ryzykiem był właściwy. Niestety można się również spodziewać, że wprowadzone regulacje prawne powstały po to, aby istniały konkretne artykułu i paragrafy, na bazie których można znaleźć osoby odpowiedzialne za brak realizacji obowiązków skutkujących utratą podstawowych wartości dla inwestora.

Istnienie ryzyka powinno być odzwierciedlane w sprawozdaniach finansowych, zarówno w wycenie aktywów i pasywów jak też notach objaśniających. Brak takich ujawnień można uznać za kreatywną księgowość lub wręcz za oszustwo. Oba te przypadki mogą wprowadzać inwestora w błąd w procesie podejmowania decyzji inwestycyjnych. Natomiast ujawnienie ryzyk w sprawozdawczości jest zabezpieczeniem odpowiedzialności zarządu i rady nadzorczej, bo inwestor ma możliwość świadomego inwestowania w mniej lub bardziej ryzykowne akcje.

Jak tworzyć procedury identyfikacji i zarządzania ryzykiem

Celowe jest stworzenie zespołu składającego się z osób odpowiedzialnych za poszczególne procesy biznesowe w spółce.

W początkowym okresie pracy zespołu warto wspomóc się ekspertem zewnętrznym, który pokieruje pracą zespołu i dostarczy odpowiednich narzędzi. Istotne jest jednak, że identyfikacja, szacowanie ryzyka i jego wpływu na działalność jest działaniem profilaktycznym, które w większości jest dużo tańsze niż skutki wystąpienia negatywnych zdarzeń.