ompendia
Zarządzanie ryzykiem - moda czy konieczność? (część 2)
Pierwszym krokiem powinien być audyt. Powinien on dostarczyć nam odpowiedzi w jakich obszarach już zarządzamy ryzykiem i w jaki sposób jest to realizowane (te obszary to: finanse, BHP, środowisko, IT, bezpieczeństwo itp.). Audyt wskaże nam również podłoże zarządzania ryzykiem: cele, kluczowe procesy, kluczowe projekty i zasoby. Audyt jest tez właściwym momentem, aby zastanowić się nad historycznymi wystąpieniami zdarzeń niepożądanych.
Kolejnym krokiem jest opracowanie koncepcji zarządzania ryzykiem. W skład koncepcji powinny wchodzić: metodyka zarządzania ryzykiem, opis procesów identyfikacji, oceny, analizy i budowania planów postępowania. Na tym etapie warto zastanowić się nad narzędziem wspierającym zarządzanie ryzykiem. Dla firm małych nieocenionym narzędziem jest arkusz Excela, który co prawda nie wspiera samego procesu, ale w bardzo tani i efektywny sposób wspiera analizy. Dla firm średnich i dużych dostępne na rynku są rozwiązania (np. klasy BPM Risk) pozwalające na wsparcie procesu i na realizowanie skomplikowanych analiz, porównań i raportów.
Następnym krokiem jest przeprowadzenie analizy. Na tym etapie menadżerowie powinni ocenić zagrożenia, prawdopodobieństwo, skutki oraz szanse – potencjały. Realizują to pod kątem działań za które są odpowiedzialni. Model analizy ryzyka opracowany na etapie koncepcji „zważy” nam jak poszczególne działania są istotne dla naszej organizacji. Realizacja tego zadania pozwoli nam na opracowanie mapy ryzyka wskazującej przypisanie ryzyka do konkretnych działań, procesów, projektów w naszej organizacji i nadanie im wag.
W kolejnym etapie należy opracować i wdrożyć plan zarządzania ryzykiem, uwzględniający ryzyka realizacji celów biznesowych organizacji oraz opisujący: sposób postępowania z każdym z ryzyk wraz z uzasadnieniem (tj. plany postępowania z ryzykami), właścicieli ryzyk wraz z zakresami uprawnień i odpowiedzialności właścicieli, kluczowe wskaźniki ryzyka (KRI), w tym co najmniej: definicje KRI, sposób wyznaczania wartości, źródła danych oraz częstotliwość raportowania KRI, oraz wycenę skutków zdarzeń operacyjnych (incydentów) dla oceny skuteczności planów postępowania z ryzykami.
Na każdym z etapów należy pamiętać o uświadamianiu i angażowaniu pracowników w celu wywołania partycypacji. Każdy powinien wiedzieć, że zarządzanie ryzykiem się opłaca i to nie tylko z punktu widzenia zarządu, czy właściciela, ale z punktu widzenia każdego z pracowników. Zabezpieczenie się przed nagłym, niespodziewanym i niepożądanym jest wpisane w naturę każdego człowieka (ubezpieczenia, zdrowy tryb życia, witaminy w okresie grypowym, szczepienia, oszczędzanie, pasy bezpieczeństwa, asekuracja w sporcie), trzeba tylko uświadomić mu, że służy to jego interesom.
Już ostatnim elementem, o którym należy pamiętać to systematyczność. Zarządzanie organizacją, a tym samym zarządzaniem ryzykiem nie znosi akcyjności, która wywołuje negatywną motywację u pracowników i powoduje frustrację. Zarządzanie ryzykiem wymaga cierpliwości i jest procesem ciągłym, tak jak analiza działalności, korekta działań, motywowanie pracowników.
Jako podsumowanie chciałbym przytoczyć powiedzenie, które powinno motywować, aby na poważnie zająć się zarządzaniem ryzykiem:
„Lepiej się zabezpieczyć, niż leczyć”
Jednak nie można zapomnieć o tym, że:
„Gorsze od braku zabezpieczenia jest tylko złudne poczucie bezpieczeństwa”
Jeżeli zarządzanie ryzykiem ma być przejawem mody, lub czyjegoś widzimisię, jeżeli ma być realizowane ekspercko przez jedną osobę w organizacji, to naprawdę lepiej tego nie róbmy, gdyż może to nam przynieść więcej krzywdy niż pożytku.
Jeżeli jednak uda nam się opracować i wdrożyć system, angażujący pracowników, uzyskamy dużo cennych informacji dla podejmowania decyzji, ale przed wszystkim wbudowany w kulturę skuteczny mechanizm reakcji na pojawiające się szanse i zagrożenia.
Fundacja Veracity
« wstecz