ŚWIAT ZARZĄDZANIA RYZYKIEM

utworzone przez | lut 9, 2017 | Baza wiedzy

Business management concept as a businessman on top of a group of tangled roads shaped as a violent destructive storm tornado or hurricane as a financial risk metaphor with 3D illustration elements.

Zarządzanie ryzykiem operacyjnym

Zarządzanie ryzykiem operacyjnym, to wyzwanie dla każdego przedsiębiorcy. Dzisiejszy świat, to świat zarządzania ryzykiem. W gąszczu ciągłych zmian, nowych przepisów, globalnego kryzysu i wielkich niebezpieczeństw, jedyną rzeczą która nam pozostaje aby normalnie i w miarę bezpiecznie funkcjonować, jest zarządzanie ryzykiem. Każdy obywatel każdego państwa,członek konkretnego społeczeństwa, każdy menadżer lub pracownik każdej firmy lub organizacji,każdy członek rodziny czy grupy osób zaprzyjaźnionych itp. powinien choć w podstawowym zakresie i prostymi metodami zarządzać ryzykiem. Dlaczego? Bo tylko wtedy jest w stanie dostosować się do obecnego tempa życia, nadążać za zmianami i śledzić pojawiające się czynniki, które mogą mieć niekorzystny lub korzystny wpływ na jego życie prywatne i zawodowe.

Nie wolno zapominać również o pojawiających się szansach. Szansa, to też element procesu zarządzania ryzykiem. Ten kto nie analizuje na bieżąco rzeczywistości, pozostaje w tyle, nie wykorzystuje pojawiających się zmian, może nagle bez sytuacji niebezpiecznej czy kryzysowej, tylko po prostu dlatego że coś przegapił, stracić swoją obecną pozycję społeczną, zawodową czy prywatną.

Czy się z tym Państwo zgadzacie? Czy też uważacie, że zarządzanie ryzykiem to tylko jeden z elementów biznesu, albo dodatkowych wymagań prawnych, potrzebny tylko menadżerom? Albo nikomu nie potrzebny, po prostu trzeba to zrobić
i odstawić na półkę, bo przepisy tego wymagają i w razie kontroli trzeba mieć dokumenty? Moje pytanie brzmi, czy dokumenty, to jest funkcjonujący proces, czy tylko zabezpieczenie formalne?

Z moich doświadczeń

Z moich doświadczeń wynika, że dobrze zarządzane i duże firmy zwykle mają działy zarządzania ryzykiem lub menadżerów ryzyka, a dzieje się to wszystko pod czujnym okiem świadomych i świetnie wykształconych przedstawicieli kadry zarządzającej. Zdarza się czasem spotkać średnie i małe firmy,które spełniają ten warunek. Ale niestety w wielu przypadkach spotykam się z brakiem zrozumienia tematu. Po co wprowadzać proces zarządzania ryzykiem? Skoro już trzeba, to zróbmy jakieś dokumenty. Proces nie funkcjonuje, dokumenty są, kontrola też nie ma zastrzeżeń i nagle pojawia się zdziwienie. Dlaczego nagle mamy kryzys w organizacji? Przecież zarządzaliśmy ryzykiem i przewidzieliśmy tą sytuację?

Tak, w dokumentach „ktoś” to przewidział i zapisał, kilka osób nawet wiedziało o takim ryzyku, ale nie wszyscy członkowie organizacji, proces zarządzania ryzykiem nie działał, nie było zrozumienia, nie wyznaczono osoby odpowiedzialnej za monitorowanie tego ryzyka, nie ustalono kryteriów zarządzania tym ryzykiem, ani też zasad informowania i powiadamiania, mapa ryzyka była dokumentem tajnym – do wglądu tylko dla osób uprzywilejowanych, a każdy oddział organizacji myślał tylko o swoim obszarze i nie interesowała go cała organizacja. Można by wymienić jeszcze wiele innych powodów, takich jak brak przeszkolenia pracowników, brak zrozumienia sensu zarządzania ryzykiem w organizacji, brak środków finansowych na podejmowanie ryzyka, ale główna przyczyna leży zwykle w braku zaangażowania najwyższego kierownictwa firmy, a bez tego wdrożenie procesu zarządzania ryzykiem się nie uda.

Firma czy organizacja dobrze zarządza ryzykiem tylko wtedy, gdy od samego początku kadra zarządzająca uczestniczy
w procesie, w szkoleniach, w tworzeniu dokumentacji itp. Moje doświadczenia zawodowe to potwierdzają. Firmy, w których dobrze funkcjonuje proces zarządzania ryzykiem miały zawsze wsparcie w najwyższym kierownictwie, które brało udział w aktywnie w tym procesie. Oczywiście kadra zarządzająca ma inne podstawowe zadania, głównie dot. realizacji strategii. Jeśli jednak rozumie i wspiera proces, interesuje się nim i zapewnia środki finansowe na zarządzanie ryzykiem, to wszelkie działania operacyjne z tym związane wykonują wyspecjalizowane działy zarządzania ryzykiem i menadżerowie ryzyka, którzy na bieżąco raportują do najwyższego kierownictwa. Ważne, aby raporty były tak skonstruowane, żeby pozwolić na stałe uczestnictwo kadry zarządzającej w procesie bez szczególnego obciążenia czasowego.

A jak wygląda praktyka? W praktyce, nie wiem dlaczego, ale zarządzanie ryzykiem ceduje się w wielu przypadkach na audyt wewnętrzny, co stanowi wielkie nieporozumienie, bo audyt wewnętrzny nie ma prawa zarządzać ryzykiem w firmie czy w organizacji
i jest to sprzeczne z jego rolą. Często jest też tak, że poszczególne obszary są zarządzane przez swoich kierowników i nie ma w tym żadnej spójności. Nie ma jednakowych kryteriów do zarządzania ryzykiem dla całej firmy czy organizacji, kryteria ustala sobie niezależnie dział IT, niezależnie dział zarządzania ryzykiem operacyjnym, niezależnie Compliance, niezależnie BHP i do tego jeszcze funkcjonuje proces zapewnienia ciągłości działania, w który w żaden sposób nie wpisują się procesy zarządzani ryzykiem ww. obszarów.

No to na zakończenie przykład praktyczny

Przykład stworzyłam hipotetycznie, bazując na doświadczeniach z mojej praktyki. Wszystkie sytuacje miały miejsce w różnych firmach, ale połączyłam to w jedną spójną całość, aby praktycznie przedstawić problem, który opisywałam powyżej.

1. Wyobraźmy sobie zakład produkcyjny, w którym ciąg technologiczny produkcji jest zarządzany poprzez zdalny komputer umieszczony w głównej serwerowni zakładu. Serwerownia ta zarządza też całą strefą administracyjno- biurową, jest bardzo dobrze wyposażona i zabezpieczona. Osobą odpowiedzialną za jej działanie jest dyrektor IT, który ma wdrożoną normę bezpieczeństwa informacji ISO 27001 i w związku z tym profesjonalnie zarządza ryzykiem środowiska IT.

2. Dział produkcji, zarządzany przez dyrektora ds. produkcji posiada procedury dot. ciągłości działania produkcji
i z technologicznego punktu widzenia dopuszcza przerwę w sterowaniu maszynami i czas możliwego przestoju na 12 godzin. Po tym czasie linia produkcyjna ulega uszkodzeniu. W związku z tym zostały zakupione najnowsze systemy informatyczne do zarządzania produkcją, posiadające najlepsze zabezpieczenia i dające prawie 100% gwarancję braku przerwania ciągłości działania produkcji.

3. Dyrektor ds. produkcji nie zajmuje się serwerownią, bo to nie należy do jego obowiązków, dyrektor IT wie, że ma zapewnić sprawność działania serwerowni, w tym serwerów zarządzających produkcją. Kryteria zarządzania ryzykiem IT uwzględniają kluczowe współczynniki ryzyka, a jednym z nich jest max. 6 godzinna przerwa w ciągłości działania serwerów. Istnieje więc dwukrotny zapas w stosunku kluczowego współczynnika ryzyka ustalonego w procesie produkcji.

4. Umowy SLA z dostawcami sprzętu informatycznego, w tym serwerów, gwarantują naprawę lub wymianę serwerów w ciągu 6 godzin od zgłoszenia.

5. Zarząd patrząc na całość systemu i analizując dokumentację zarządzania ryzykiem IT oraz ciągłości działania produkcji, które nie pracują w jednym systemie zarządzania ryzykiem zakładu produkcyjnego tylko stanowią odrębne procesy, jest spokojny. Gdzie pojawia się problem?

6. Instalacja systemu zarządzania produkcją na nowym serwerze wymaga pracy 2 informatyków z działu IT i 2 pracowników produkcji, którzy dobrze znają system i trwa to około 6 godzin. Teoretycznie zamykamy się nadal w wymaganych 12 godzinach i nikt nie widzi problemu…,ale tylko na papierze…Dlaczego?

7. Sytuacja ma miejsce podczas ferii zimowych w niedzielę, jeden z informatyków wyjechał z dziećmi za granicę na narty,
a pracownik z działu produkcji mieszka 50 km od firmy, jest na imprezie rodzinnej i z uzasadnionych powodów nie może przyjechać do firmy. Nie ma większej ilości osób w firmie, która potrafi uruchomić system produkcyjny na nowym serwerze, a na szukanie osób zewnętrznych może nie wystarczyć czas tych pierwszych 6 godzin.

8. Efekt: linia produkcyjna ulega uszkodzeniu, pomimo tego że w zakładzie produkcyjnym funkcjonowały procesy zachowania ciągłości działania i zarządzania ryzykiem IT. Niestety zabrakło spójnego zarządzania ryzykiem w całym zakładzie i spójnego ustalenia jednakowych kryteriów dla całego zakładu. Zarząd uczestniczył w tych procesach, ale nie wziął pod uwagę procesów kadrowych. Poza tym prawdopodobieństwo wystąpienia takiej sytuacji było tak niskie, że nikt nie wpadł na to, aby tak szczegółowo przeanalizować ryzyko.

Jak to powinno wyglądać?
1. Powinno się ustalić kluczowe procesy dla całego zakładu produkcyjnego i kluczowe współczynniki ryzyka.

2. Powinny być ustalone jednakowe kryteria dla całego zakładu i te „magiczne” 6 i 12 godzin miały
uwzględnić także działy odpowiedzialne za zasoby kadrowe, patrząc przez pryzmat działania całego zakładu.

3. Zarządzanie ryzykiem IT powinno wpisywać się w kryteria zarządzania ryzykiem dla całego zakładu, wtedy przewidzieliby w zarządzaniu ryzykiem IT odpowiednie zasoby kadrowe i upomnieliby się o takie po stronie działu produkcji, przeszkoliliby więcej osób lub zabezpieczyliby dodatkowy serwer awaryjny, zaoszczędzając w ten sposób 6 dodatkowych godzin.

4. Najwyższe kierownictwo zakładu, analizując jakąkolwiek dokumentację, opierałoby się na jednakowych kryteriach, niezależnie od omawianego tematu, co ułatwiłoby zarządzanie zakładem i przesuwanie środków finansowych do najbardziej potrzebnych obszarów zakładu.

5. Wszyscy pracownicy działu IT i działu produkcji powinni być przeszkoleni z zakresu zarządzania ryzykiem w zakładzie produkcyjnym i znać procedury powiadamiania, a przede wszystkim znać kluczowe ryzyka i sposoby przeciwdziałania ich realizacji – być może wtedy nie dopuściliby do realizacji ryzyka przerwania ciągłości działania, bo dużo wcześniej zauważyliby symptomy wskazujące na możliwość wystąpienia takiej sytuacji.

Reasumując: w moim rozumieniu zarządzanie ryzykiem powinno być elementem kultury organizacji i doskonalenia jej działania, a nie tylko nakazem prawa. Ale tam, gdzie prawo tego nakazuje,zarządzanie ryzykiem jest naprawdę potrzebne
i powinno być procesem faktycznie świadomie funkcjonującym w całej organizacji, a nie tylko w jej dokumentach
i fragmentarycznie w różnych działach.

Dziękuję za uwagę, następny artykuł poświęcę wypunktowaniu przepisów, na podstawie których zarządzanie ryzykiem obowiązuje niektóre firmy i organizacje lub wybrane ich obszary…

Zapraszam na ciąg dalszy i nadmieniam, że będę pisać w sposób prosty i zrozumiały dla wszystkich,
gdyż nie są to artykuły dla specjalistów zarządzania ryzykiem, tylko dla menadżerów i pracowników
firm i organizacji, którzy chcą się tym tematem zainteresować.
Anna Słodczyk©