Analiza ryzyka – strata czasu czy szansa?


Nowoczesne systemy zarządzania podejmują próbę przewidywania przyszłości. Kiedyś wróżono z fusów teraz zarządzamy ryzykiem. Czy obie metody rzeczywiście się od siebie różnią, czy raczej są tak samo skuteczne?

Każdy zarządza ryzykiem

Analiza ryzyka, szacowanie ryzyka czy też wreszcie zarządzanie ryzykiem stały się tematami bardzo „modnymi” w biznesie. Jeszcze nie tak dawno pojęcie ryzyka pojawiało się tylko w kontekście dużych firm. W chwili obecnej podstawą nowoczesnych systemów zarządzania jest podejście bazujące na ryzyku. Zarządzanie ryzykiem stało się wymogiem wielu standardów ISO, np.:

–          ISO 27001 – System zarządzania bezpieczeństwem informacji

–          ISO 20000-1 – System zarządzania usługą

–          ISO 22301 – System zarządzania ciągłością działania

–          ISO 28000 – System zarządzania łańcuchem dostaw

–          System antykorupcyjny i inne

Dostępne są również międzynarodowe standardy ISO dotyczące zarządzania ryzykiem:

–          ISO 27005 Zarządzanie ryzykiem w bezpieczeństwie informacji oraz

–          ISO 31000 Zarządzanie ryzykiem

I co dalej?

Niestety, pomimo dostępności wytycznych, podpowiadających, na jakie elementy zwrócić należy uwagę podczas zarządzania ryzykiem (a może właśnie dlatego?) w wielu organizacjach ten proces nie jest skuteczny. Dlaczego tak się dzieje? Oto kilka zagadnień, na które należy zwrócić szczególną uwagę w celu zapewnienia wiarygodności wyników analizy.

W jaki sposób oceniać ryzyko?

Każda organizacja, która chce zarządzać ryzykiem musi posiadać metodykę oceny ryzyka. I tu pojawiają się pierwsze schody – jaką wybrać? Standardy ISO podpowiadają: metodyka ma być odpowiednia!? Ale jak ocenić „odpowiedniość”? Odpowiedź również znajdziemy w normach: „Wybrana metodyka szacowania ryzyka powinna zapewnić, że szacowanie to daje porównywalne i powta­rzalne rezultaty.” Stwierdzenie to wydaje się czymś oczywistym, tymczasem wiele metodyk zakłada przeprowadzenie oceny wg skali, np.: skutki oceniane są jako: „Nieistotne”, „Średnie” i „Katastrofalne”. Konia z rzędem temu, kto podpowie, kiedy osoba oceniająca powinna użyć oceny „Nieistotne”, a kiedy „Katastrofalne”? Z jakiej perspektywy należy oceniać – wybranego obszaru, czy całej organizacji?a

Ocena prawdopodobieństwa często odbywa się poprzez wskazanie wartości z przedziału od 0 do 1, np. prawdopodobieństwo kradzieży = 0,2. Dla każdego oceniającego może to oznaczać co innego: raz w roku albo raz w miesiącu.

Żeby metodyka spełniała warunki powtarzalności i porównywalności należy każdą z ocen opisać w sposób jednoznaczny. Jest to bardzo trudne zadanie, ale tylko w ten sposób możemy uniknąć bardzo poważnego błędu na etapie ewaluacji ryzyka. Jeśli ocena „Nieistotne” będzie opisana jako „wystąpienie zagrożenia nie ma wpływu na funkcjonowanie procesu”, a „Katastrofalne” – „wystąpienie zagrożenia powoduje przerwanie działania procesu” to w zdecydowany sposób łatwiej będzie przeprowadzić ocenę z dużym prawdopodobieństwem, że uczestnicy procesu ocenią podobne sytuacje w podobny sposób.

Kto powinien oceniać ryzyka?

Generalnie występują trzy modele tworzenia zespołu oceniającego ryzyko. Pierwszy model zakłada, że dedykowany zespół zajmuje się tylko i wyłącznie ryzykiem. To ten zespół opracowuje metodykę oceny ryzyka, identyfikuje zagrożenia, ocenia ryzyka.

Zalety:

–          powtarzalność i porównywalność ocen,

–          opracowane listy zagrożeń wg przyjętego klucza,

–          spójność oceny.

Wady:

–          zagrożenia są identyfikowane przez osoby z „zewnątrz” procesów, mogą więc nieświadomie pominąć istotne zagrożenia występujące w procesie,

–          w większych organizacjach wydłużający się czas opracowania – wąska grupa pracowników zajmuje się analizą całej organizacji.

Drugi model to „pospolite ruszenie”. Ryzyka identyfikowane i oceniane są przez osoby reprezentujące wszystkie obszary działania firmy – właścicieli procesów, aktywów, często nazywanymi właścicielami ryzyka. Uzyskane wyniki są konsolidowane i powstają zbiorcze zestawienia ryzyk.

Zalety:

–          co wiele głów, to nie jedna – identyfikowana jest bardzo duża liczba zagrożeń, czasami zaskakujących (kluczowy pracownik wraca do domu na rowerze, jezdnia nie ma wydzielonego pobocza – istnieje zagrożenie potrącenia przez innych uczestników ruchu!).

–          łatwość oceny skutków z punktu widzenia swojego procesu – właściciel ryzyka zna swój proces

Wady:

–          zagrożenia nie są ujednolicone, mają bardzo różny stopień szczegółowości (obok „spalenia serwerowni” wskazywane jest „zalanie kawą faktury”)

–          ukrywanie ryzyk – wskazując ryzyko jego właściciel może potraktować to jako donos na samego siebie i w obawie przed reakcją przełożonych woli je ukryć.

–          trudność oceny skutków z punktu widzenia skutków dla całej organizacji

–          załatwianie bieżących potrzeb. Niejednego właściciela ryzyka może skusić opracowanie ryzyk, które pomogą mu załatwić jego bieżące potrzeby („…nie było pieniędzy na nowy sprzęt,no to teraz będą musieli znaleźć, bo takie jest RYZYKO…”).

Trzeci model to model mieszany, składający się z dwóch poprzednich. Z jednej strony ryzyka są wskazywane przez Właścicieli ryzyka, ale z drugiej strony jest powołany dedykowany zespół, czuwający nad rzetelnością oceny oraz jej kompletnością. Zespół ten opracowuje metodykę oraz często przygotowuje listy np. podstawowych zagrożeń, które powinny zostać ocenione.

Obiektywny subiektywizm?

Ocena ryzyka jest oceną subiektywną osób oceniających. W celu zapewnienia wiarygodnych wyników oceny organizacja dąży do uzyskania obiektywnych ocen. I tu jest m.in. istotna rola dobrej metodyki oceny oraz kompetencje zespołu nadzorującego i koordynującego cały proces oceny ryzyka. Metodyka nie może pozostawiać zbyt dużego marginesu swobody oceny, natomiast dedykowany zespół czuwa nad kompletnością i spójnością ocen.

Ostatnim elementem oceny wiarygodności i skuteczności całego procesu zarządzania ryzykiem jest audyt wewnętrzny, będący źródłem informacji umożliwiających wprowadzanie zmian i korekt, czyli doskonaleniem procesu zarządzania ryzykiem.

Czy warto?

Istnieje bardzo dużo zagrożeń utrudniających uzyskanie wiarygodnych wyników oceny ryzyka, ale przy odrobinie zaangażowania, popartego wiedzą i umiejętnościami, potencjalne korzyści z zarządzania ryzykiem będą stanowić istotną wartość dodaną dla organizacji. Oceniając ryzyka, kierownictwo ma szansę poznać słabe i mocne obszary firmy, którą zarządza, co może (powinno) przełożyć się na podejmowanie decyzji operacyjnych i strategicznych.

 

Waldemar Gełzakowski

Konsultant, audytor i trener

Artykuł ukazał się w magazynie „FAKTY”,

wydanie z przełomu listopad/grudzień 2012