Terroryści nie wybierają przypadkowych celów ataku. Większość z nas nigdy nie odczuje skutków terrorystycznego zamachu. Tylko mały procent wydarzeń i wypadków wywrze szkodliwy wpływ na wartość i produktywność Twojej firmy i jednocześnie zaledwie znikoma część wszystkich aktywów ucierpi w wyniku tych wydarzeń; czasem więcej niż jeden raz.
Jeśli to prawda, dlaczego w zarządzaniu ryzykiem rządzą standard, uniformizm i konformizm? Dlaczego tak rzadko firmy skupiają się na starannie wyselekcjonowanych priorytetowych obszarach?
Strategia selekcji ryzyka
W strategicznym planowaniu mnóstwo czasu poświęca się na identyfikację i kwalifikację zagrożeń. Sam proces analizy niebezpieczeństw jest jak najbardziej uzasadniony i pożyteczny, ale bez rzetelnej oceny prawdopodobieństwa i realnego wpływu zagrożenia znacznie traci na wartości.
Tylko nielicznym pracownikom w delegacji przydarzy się wypadek. Jedynie skromnemu procentowi Twoich pracowników grozi prawdziwe niebezpieczeństwo. Inne zagrożenia dominują w kopalni, inne w banku, jeszcze inne w szpitalu.
Nie wszystkie trwałe aktywa mają tą samą wartość i nie dla wszystkich skalkulowano identyczną jednorazową stratę na aktywach (JSA) i roczną przewidywaną stratę (RPS). Tylko niektóre rynki wymagają większego wsparcia technicznego i ochrony – podobnie tylko niektóre rynki mogą znacząco wpływać na Twoje bezpieczeństwo finansowe.
Selekcja źródeł największych zagrożeń pod kątem ich finansowych konsekwencji jest najsłabszym ogniwem procesu analizy ryzyka. Wynika to głównie z braku umiejętności i doświadczenia osób prowadzących taki audyt.
Nawet przy skromnych środkach można zorganizować warsztat jak oszacować prawdopodobieństwo i wpływ przerwania produkcji (lub świadczenia usługi) na kondycję firmy i przygotować plan działania uwzględniający materialne i niematerialne implikacje.
Im więcej wykrytych i opisanych zagrożeń i im większe ich prawdopodobieństwo, tym łatwiej zachęcić szefów do poważnej rozmowy. Im prostsza metoda pomiaru i prezentacja wyników, tym więcej osób się nią szczerze zainteresuje.
Abstrakcyjne wyrażenia, naukowe wywody lub po prostu zmyślone dane rozmyją cel i zniechęcą do wspólnego działania. Jeszcze się nie zdarzyło, żeby jedna osoba ocaliła całą firmę; do tego potrzeba sprawdzonych procedur i zespołu pracującego według planu.
Nie każdy, nie zawsze, nie wszędzie
Analizą ryzyka czasem rządzi przekonanie, że wszystko co najgorsze może wydarzyć się w każdym miejscu i o każdej porze. Pożar może wybuchnąć w każdym miejscu, samochód może zepsuć się w każdej chwili, strajk głodowy może się rozpocząć w każdym wydziale. Teoretycznie tak, ale praktycznie mało prawdopodobne.
Stosowanie takich strategii podważa ekonomiczną rację bytu zarządzania ryzykiem i drastycznie podnosi koszty utrzymania i aktualizacji takich systemów ochrony. Dodatkowo, brak priorytetów nie gwarantuje adekwatnego zabezpieczenia 20% najbardziej wrażliwych aktywów.
Wizję i kierunek analizy i diagnostyki wyznacza polityka zarządzania ryzykiem. Polityka jest zwięzłym i jasnym dokumentem; opisuje priorytety, na przykład, działania dotyczące bezpieczeństwa ludzi, ochrony marki, budynków, itd. Wszyscy powinni wiedzieć jakie są cele i kolejność działań. Efekty opisanych działań muszą być mierzalne (finansowo i operacyjnie) oraz systematycznie oceniane i aktualizowane.
Polityka nie zmienia się codziennie, ale procesy i niektóre cele płynnie dopasowują się do zmian w organizacji i otoczeniu. Najbardziej efektywne polityki ryzyka mieszczą się w jednym akapicie, który obejmuje wszystkie wymienione wcześniej elementy i nie narzuca konkretnej taktyki – pokazuje tylko kierunek działania.
Elastyczna i obiektywna analiza ryzyka
Zegar tyka, świat się rozwija i firma, którą zarządzałeś wczoraj, dzisiaj jest już trochę inna. Analiza ryzyka powinna być dynamiczna, elastyczna i przede wszystkim stale monitorowana. Bez monitoringu trudno wyobrazić sobie dostęp do bazy danych o aktualnych zagrożeniach, ich potencjalnym wpływie na kondycję firmy i jej przyszłość.
Baza danych jest znakomitym narzędziem do analizy fundamentalnej (na przykład, polityka fiskalna i monetarna, ogólny klimat ekonomiczny, zdarzenia polityczne, pozycja finansowa firmy, sytuacja w poszczególnych branżach) pod warunkiem, że zasilają ją źródła wewnętrzne i zewnętrzne.
Jedno hasło dostępu (czyli krótki kod) może być warte miliony złotych, a petabajt danych może mieć jedynie wartość nośnika na jakim są przechowywane. Problem polega na tym, że większość firm nie wie co ma jaką wartość. Firmy efektywnie zarządzające ryzykiem koncentrują 80% środków na najcenniejszych 20% aktywów.
Większe organizacje dysponują wewnętrznymi zasobami do analizy ryzyka i wyboru priorytetów, ale te najmądrzejsze korzystają także z doradców zewnętrznych. Mniejsze firmy, głównie dzięki nowoczesnej technologii i globalizacji, też mają dostęp do zewnętrznych rozwiązań i systemów wsparcia.
Konkluzja
Żadna firma nie wie o sobie wszystkiego lub o tym co dzieje się w jej otoczeniu – bez względu co sama myśli na ten temat.
Czy znasz swoje najbardziej wartościowe aktywa i chronisz je lepiej od pozostałych? Czy może stosujesz standardowe podejście do ochrony wszystkich pracowników, maszyn, urządzeń, pomieszczeń, procesów i procedur, bo tak jest "bezpiecznie", wygodnie i zawsze tak robiłeś?
Brak komentarzy:
Prześlij komentarz