Oswoić ryzyko

W mojej opinii, istnieje też grupa pojęć, które można by nazwać pierwotnymi, a które są wspólne dla wszystkich rozbudowanych standardów zarządzania ryzykiem (środowisko praktyków jest w tym względzie podzielone). Jednak szybką weryfikację spójności wykorzystywanej terminologii i definicji w danej firmie przynieść może prośba o wskazanie zależności pomiędzy poszczególnymi pojęciami. Wyniki będą następujące: zawieranie się jednych pojęć w drugich, ich rozłączność lub niezależność jednych od drugich. Tym samym okaże się, że część określeń jest zbędna. Przykładem jest mylenie zagrożenia z ryzykiem, podatności z ryzykiem lub zagrożenia z podatnością. Opieranie się na skojarzeniach, intuicyjne rozumienie pojęć sprawia, że próba analizy ryzyka owocuje niezawierającym rzeczywistej treści bełkotem i udawaniem analizy ryzyka. Promowanie dobrych praktyk, pokazywanie realnych korzyści z zarządzania ryzykiem w postaci skuteczniejszej realizacji celów strategicznych jest jedynym argumentem, który przekonuje. Trzeba jednak uwodnić, że lepsze zarządzanie jest wynikiem zarządzania ryzykiem.

W każdym ujęciu zarządzanie ryzykiem proponuje podział ról i odpowiedzialności. Kim w nowoczesnej koncepcji systemu zarządzania ryzykiem jest CIO?

Zobacz również:

  • Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem
  • 9 cech wielkich liderów IT

- Rzeczywistość jest taka, że w odniesieniu do IT oraz CIO biznes wykazuje często ochotę do przypisania niejako standardowo obowiązku zarządzania ryzykiem właśnie departamentowi IT. Jest to rola, której CIO z pełną świadomością i determinacją powinien unikać, skupiając się na odpowiedzialności za swoje własne cele, a nie za cele innych. Kryterium podziału powinno być porównanie celów i mierników, za które odpowiada CIO z tymi, za które odpowiada biznes. CIO nie może przecież brać odpowiedzialności za KPI o charakterze biznesowym. Weźmy przykład przestoju systemu CRM, który wpływa na satysfakcję klienta zewnętrznego. IT nie odpowiada bezpośrednio za realizuję celu satysfakcji klienta zewnętrznego (załóżmy, 90%), lecz za określony poziom usługi ją realizujący (np. dostępność 99,5% lub Recovery Time Objective mniejszy niż 4 godziny). W koncepcji ERM to właściciel celu satysfakcja klienta jest odpowiedzialny z całokształt działań minimalizujących ryzyko nieosiągnięcia celu satysfakcyjnego 90%. CIO jest jedną z osób (ale z pewnością nie jedyną, od której zależy osiągnięcie tego celu). I z tym jest największy problem w początkowych fazach wdrożenia ERM. W koncepcji ERM często ryzyko IT jest jednym z elementów ryzyka ciągłości działania (odpowiedzialność za BCM nie powinna być w IT, lecz w biznesie, IT odpowiada za Disaster Recovery), celów sprzedażowych, satysfakcyjnych, chyba że cele biznesowe bezpośrednio zależą od IT (gdy dostępność infrastruktury IT przekłada się bezpośrednio na przychody, np. systemy bankowe, których dane są żywym pieniądzem, terminale kart płatniczych itp.).


TOP 200