Zarządzanie ryzykami raptownie awansowało z banalnej pozycji pożytecznego narzędzia do rangi życiodajnego wręcz procesu w organizacji i miernika służącego ocenie pracy jej kierownictwa.

Rosnąca fala publikacji na temat sposobów zarządzania i wiarygodności korporacyjnej zdawałaby się sugerować, że waga tych kwestii rośnie z miesiąca na miesiąc. Z kolei w ramach tej tematyki najbardziej znaczące zdaje się być zagadnienie zarządzania ryzykami, które wybija się na pierwszy plan, być może za sprawą tego oto paradoksu: firmy w większości sądzą, że dostrzegają i rozumieją najważniejsze ryzyka, na jakie są narażone, i że umieją im skutecznie przeciwdziałać, gdy tymczasem coraz dłuższy rejestr wpadek i afer wyciąganych na światło dzienne przez media jednoznacznie wskazuje, że tak dobrze to raczej nie jest.

Program zarządzania ryzykami

Większość organizacji zapewne już wdrożyła u siebie - przynajmniej formalnie - jakiś program oceny i katalogowania swoich najbardziej znaczących ryzyk. Trzeba jednak spytać, czy inicjatywa ta przynosi pozytywne efekty. Mianowicie:

• Czy daje się wskazać jakieś mierzalne korzyści z jej wdrożenia?
• Czy pracownicy przyjęli program z entuzjazmem, czy też raczej potraktowali go jako kolejną modną nowinkę, jeszcze jedną czyjąś tam inicjatywę?
• Czy wykryto jakieś nowe słabe punkty organizacji?
• Czy dopatrzono się jakichś nadmiernie kontrolowanych obszarów działalności i czy podjęto kroki, by ograniczyć zbędne mechanizmy kontrolne?
• Czy po prostu odfajkowano poszczególne elementy programu?

Wraz z upływem czasu staje się coraz bardziej jasne, że kluczem do sukcesu w zarządzaniu ryzykami - jak i zresztą w wielu innych obszarach działalności - są ludzie i procesy.

Z wielu badań ankietowych wynika, że najbardziej skutecznym narzędziem identyfikowania ryzyk jest warsztat. Prowadzenie takiego warsztatu to specyficzna umiejętność, ale, oczywiście, do opanowania. Uczestnikom warsztatu stojącym w hierarchii firmy niżej od innych może być trudno odgrywać w nim należytą rolę, zwłaszcza że jego powodzenie zależy od tego, czy osoba prowadząca zdoła narzucić w ich trakcie przestrzeganie następujących reguł i zasad:

• własne muchy w nosie należy zostawić za drzwiami przed wejściem na warsztat;
• nic, co będzie powiedziane, nie może być wykorzystane przeciwko osobie wypowiadającej daną uwagę;
• wkład każdego uczestnika w dyskusję jest jednakowo istotny;
• nie ma żadnych ukrytych celów warsztatu;
• niechaj każdy mówi, co czuje, nawet jeśli ma ochotę mądrzyć się na tematy spoza obszaru swojego bezpośredniego zaangażowania.

Z naszych doświadczeń w prowadzeniu programów zarządzania ryzykami przeznaczonych dla organizacji sektora zarówno prywatnego, jak i publicznego płynie wiele jasnych wniosków. Rozważając ryzyka zaliczające się do kategorii tych o znaczeniu zasadniczym (pola 9, 8, 7 i 6 w macierzy na str. 21), za każdym razem dostrzegamy takie oto z nich:

• niezdolność do efektywnego zarządzania projektami;
• utrata systemów IT;
• zawodność partnerów lub nieumiejętność tworzenia efektywnych relacji z partnerami;
• utrata kluczowych pracowników;
• uszczerbek na reputacji wywołany brakiem zaufania;
• ataki hakerskie lub nieskuteczność zabezpieczeń systemów;
• zaniechanie innowacyjności;
• nietrafione określenie priorytetów w rozwoju systemów;
• demoralizacja i/lub zestresowanie pracowników;
• zbytni natłok danych prowadzący do niedostatku informacji.

Wszystkie powyższe ryzyka odnoszą się bezpośrednio do ludzi lub procesów - albo, oczywiście, do jednych i drugich. Kluczem do sukcesu jest tu właściwa identyfikacja związków między nimi wszystkimi i skuteczne zarządzanie tymi związkami.

Ryzyka związane z ludźmi i procesami

1. Niezdolność do efektywnego zarządzania projektami

Z tym ryzykiem firmy często nie radzą sobie najlepiej. By zdać sobie z tego sprawę, wystarczy przypomnieć sobie, ile ze znanych nam systemów IT zostało ukończonych w terminie bez przekroczenia budżetu i ile spośród nich w pełni zaspokaja potrzeby użytkowników.

2. Utrata kluczowych systemów IT

Firmy są na ogół dobrze przygotowane do zarządzania tym ryzykiem, a to dzięki wymogom sporządzania kopii zapasowych danych i planom utrzymania ciągłości działania w razie wypadku czy awarii. Znacznie mniejszą wagę przywiązuje się jednak do losów pracowników w przypadku jakiegoś nieszczęścia.

3. Zawodność partnerów

Wiele daje się zrobić, by ograniczyć skutki nierzetelności lub nieszczęść kluczowych partnerów, i to zarówno w przypadku jednorazowej wpadki, jak i tego najgorszego, czyli wypadnięcia partnera z rynku. Najważniejszy jest tu oczywiście właściwy dobór partnerów i odpowiednie sformułowanie umowy o współpracy, ale, bądźmy szczerzy, ileż to organizacji tak naprawdę rozważyło możliwe do podjęcia kroki na wypadek, gdyby zdarzyło się to najgorsze?