Zarządzanie ryzykami - ludzie, procesy, miary

Zarządzanie ryzykami raptownie awansowało z banalnej pozycji pożytecznego narzędzia do rangi życiodajnego wręcz procesu w organizacji i miernika służącego ocenie pracy jej kierownictwa.

Zarządzanie ryzykami raptownie awansowało z banalnej pozycji pożytecznego narzędzia do rangi życiodajnego wręcz procesu w organizacji i miernika służącego ocenie pracy jej kierownictwa.

Rosnąca fala publikacji na temat sposobów zarządzania i wiarygodności korporacyjnej zdawałaby się sugerować, że waga tych kwestii rośnie z miesiąca na miesiąc. Z kolei w ramach tej tematyki najbardziej znaczące zdaje się być zagadnienie zarządzania ryzykami, które wybija się na pierwszy plan, być może za sprawą tego oto paradoksu: firmy w większości sądzą, że dostrzegają i rozumieją najważniejsze ryzyka, na jakie są narażone, i że umieją im skutecznie przeciwdziałać, gdy tymczasem coraz dłuższy rejestr wpadek i afer wyciąganych na światło dzienne przez media jednoznacznie wskazuje, że tak dobrze to raczej nie jest.

Zobacz również:

Program zarządzania ryzykami

Większość organizacji zapewne już wdrożyła u siebie - przynajmniej formalnie - jakiś program oceny i katalogowania swoich najbardziej znaczących ryzyk. Trzeba jednak spytać, czy inicjatywa ta przynosi pozytywne efekty. Mianowicie:

  • Czy daje się wskazać jakieś mierzalne korzyści z jej wdrożenia?
  • Czy pracownicy przyjęli program z entuzjazmem, czy też raczej potraktowali go jako kolejną modną nowinkę, jeszcze jedną czyjąś tam inicjatywę?
  • Czy wykryto jakieś nowe słabe punkty organizacji?
  • Czy dopatrzono się jakichś nadmiernie kontrolowanych obszarów działalności i czy podjęto kroki, by ograniczyć zbędne mechanizmy kontrolne?
  • Czy po prostu odfajkowano poszczególne elementy programu?
Wraz z upływem czasu staje się coraz bardziej jasne, że kluczem do sukcesu w zarządzaniu ryzykami - jak i zresztą w wielu innych obszarach działalności - są ludzie i procesy.

Z wielu badań ankietowych wynika, że najbardziej skutecznym narzędziem identyfikowania ryzyk jest warsztat. Prowadzenie takiego warsztatu to specyficzna umiejętność, ale, oczywiście, do opanowania. Uczestnikom warsztatu stojącym w hierarchii firmy niżej od innych może być trudno odgrywać w nim należytą rolę, zwłaszcza że jego powodzenie zależy od tego, czy osoba prowadząca zdoła narzucić w ich trakcie przestrzeganie następujących reguł i zasad:

  • własne muchy w nosie należy zostawić za drzwiami przed wejściem na warsztat;
  • nic, co będzie powiedziane, nie może być wykorzystane przeciwko osobie wypowiadającej daną uwagę;
  • wkład każdego uczestnika w dyskusję jest jednakowo istotny;
  • nie ma żadnych ukrytych celów warsztatu;
  • niechaj każdy mówi, co czuje, nawet jeśli ma ochotę mądrzyć się na tematy spoza obszaru swojego bezpośredniego zaangażowania.
Z naszych doświadczeń w prowadzeniu programów zarządzania ryzykami przeznaczonych dla organizacji sektora zarówno prywatnego, jak i publicznego płynie wiele jasnych wniosków. Rozważając ryzyka zaliczające się do kategorii tych o znaczeniu zasadniczym (pola 9, 8, 7 i 6 w macierzy na str. 21), za każdym razem dostrzegamy takie oto z nich:

  • niezdolność do efektywnego zarządzania projektami;
  • utrata systemów IT;
  • zawodność partnerów lub nieumiejętność tworzenia efektywnych relacji z partnerami;
  • utrata kluczowych pracowników;
  • uszczerbek na reputacji wywołany brakiem zaufania;
  • ataki hakerskie lub nieskuteczność zabezpieczeń systemów;
  • zaniechanie innowacyjności;
  • nietrafione określenie priorytetów w rozwoju systemów;
  • demoralizacja i/lub zestresowanie pracowników;
  • zbytni natłok danych prowadzący do niedostatku informacji.
Wszystkie powyższe ryzyka odnoszą się bezpośrednio do ludzi lub procesów - albo, oczywiście, do jednych i drugich. Kluczem do sukcesu jest tu właściwa identyfikacja związków między nimi wszystkimi i skuteczne zarządzanie tymi związkami.

Ryzyka związane z ludźmi i procesami

1. Niezdolność do efektywnego zarządzania projektami

Z tym ryzykiem firmy często nie radzą sobie najlepiej. By zdać sobie z tego sprawę, wystarczy przypomnieć sobie, ile ze znanych nam systemów IT zostało ukończonych w terminie bez przekroczenia budżetu i ile spośród nich w pełni zaspokaja potrzeby użytkowników.

2. Utrata kluczowych systemów IT

Firmy są na ogół dobrze przygotowane do zarządzania tym ryzykiem, a to dzięki wymogom sporządzania kopii zapasowych danych i planom utrzymania ciągłości działania w razie wypadku czy awarii. Znacznie mniejszą wagę przywiązuje się jednak do losów pracowników w przypadku jakiegoś nieszczęścia.

3. Zawodność partnerów

Wiele daje się zrobić, by ograniczyć skutki nierzetelności lub nieszczęść kluczowych partnerów, i to zarówno w przypadku jednorazowej wpadki, jak i tego najgorszego, czyli wypadnięcia partnera z rynku. Najważniejszy jest tu oczywiście właściwy dobór partnerów i odpowiednie sformułowanie umowy o współpracy, ale, bądźmy szczerzy, ileż to organizacji tak naprawdę rozważyło możliwe do podjęcia kroki na wypadek, gdyby zdarzyło się to najgorsze?