Myśleć racjonalnie o ryzyku

Zarządzanie ryzykiem wymaga dobrego porozumienia i komunikacji między wieloma działami i osobami w organizacji.

Podczas tegorocznej, kwietniowej konferencji Stowarzyszenia Zarządzania Ryzykiem Polrisk "Pomiar ryzyka korporacyjnego w praktyce" unikano wprost odwołań do IT oraz roli menedżerów zarządzających tą sferą. Najciekawsze wnioski i tezy, które przetestowano w konferencyjnych dyskusjach i podczas wystąpień, układają się w pewien spójny zestaw uniwersalnych rekomendacji:

- nie ma zarządzania organizacjami bez zarządzania ryzykiem

- przy stosowaniu KRI (wskaźników ryzyka) niezbędne jest stosowanie modeli uzupełniających

- należy dążyć do tego, aby wdrażając zarządzanie ryzykiem powiązać je ze wszystkimi obszarami działalności oraz stosować technologie informatyczne umożliwiające zarządzanie dynamiczne i statyczne

- efektywny ERM (Enterprise Risk Management) może być osiągnięty wyłącznie w oparciu o specyficzne dla danej firmy podejście do zagadnienia

- praktyka zarządzania ryzykiem w przedsiębiorstwie musi koniecznie czerpać z dorobku nauki

- podstawowa cecha menedżera ryzyka lub Chief Risk Officera to odwaga - mówienie prawdy zarządowi

- ryzyka są trudniej kwantyfikowalne niż nam się to wydawało

- klasyczne podejście do ryzyka, tj. prawdopodobieństwo i skutek, wydaje się być niewystarczające dla praktyki zarządzania firmą

- należy wyważyć potrzebę indywidualizowania podejścia do zarządzania ryzykiem (komplikowanie) z praktyczną możliwością wdrożenia przyjętego modelu (upraszczanie)

- czy faktycznie nie za bardzo zapatrzyliśmy się na model zarządzania ryzykiem wg standardu COSO?

- istotna jest komunikacja pomiędzy działem zarządzania ryzykiem a radą nadzorczą

- należy podjąć próbę wdrożenia procesu zarządzana ryzykiem samodzielnie

- wciąż większość otoczenia biznesowego w Polsce nie rozumie, czym jest enterprise risk management

- zarządzanie ryzykiem jest ewidentnym elementem strategii; tworzenie strategii zarządzania ryzykiem wymaga nie tylko formalizmów, ale także ugruntowanego doświadczenia biznesowego osób je realizujących

- znajomość kilku metod oceny ryzyka daje możliwość ich kombinacji i wypracowania indywidualnego rozwiązania, które nie musi w 100% być zgodne z jedną metodologią

- konieczne jest przekazanie i wpojenie zarządowi i kierownictwu komórek organizacyjnych, jak bardzo istotne jest zarządzanie ryzykiem

- pomiar ryzyka to problem trudny, dlatego w przyjmowanych rozwiązaniach należy zachować rozsądek, unikać przerostu formy nad treścią i celem.

Tekst stanowi fragment wypowiedzi podczas konferencji "Pomiar ryzyka korporacyjnego w praktyce", Warszawa 2010.

Ustalić zakresy odpowiedzialności

Jestem skłonny zaryzykować tezę, że każda dobrze funkcjonująca firma "posiada" nieformalny ERM, którego być może ona sama nawet nie jest świadoma, ale mniej lub bardziej intuicyjnie działa według jego reguł. W związku z tym, można zarekomendować CIO następujące kroki:

1. Weryfikacja, w jakim stopniu aktualne cele obszaru IT są spójne ze strategią firmy, a jakie, wg CIO, nie realizują celów strategicznych.

2. Określenie właściciela celu biznesowego, tzn. kogoś kto z ramienia zarządu lub wskazanej przez niego osoby (właściciela procesu, kierownika produktu, dyrektora komórki organizacyjnej) odpowiada za realizację strategii i ustalenie jego oczekiwań w tym zakresie.

3. Określenie i weryfikacja, czy aktualne SLA IT z biznesem pokrywają całość aplikacji i infrastruktury IT wspierających procesy lub usługi realizujące cele strategiczne.

4. Określenie wpływu mierników obszaru IT na mierniki stricte biznesowe lub żądanie określenia tego wpływu; np. zamiast ustalania dostępności systemu informatycznego na poziomie 99,5%, przed akceptacją poprosić o uzasadnienie, jak taki poziom dostępności przekłada się mierniki biznesowe, takie jak sprzedaż, czas obsługi klienta itp.

5. Ustalenie, jak obecny poziom kosztów IT wpływa na realizację celów biznesowych, przeprowadzenie analizy wrażliwości wzrostu lub spadku kosztów IT na przychody lub inne mierniki biznesowe. Wyniki mogą okazać się zaskakujące.

6. Ustalenie granicy pomiędzy odpowiedzialnością za cel biznesowy, sprzedażą na określonym poziomie, satysfakcją klienta zewnętrznego (z reguły nie powinna należeć do obszaru IT i CIO) a odpowiedzialnością działu IT, z eliminacją słabości (lub silnych stron), ale wyłącznie tych, które negatywnie (pozytywnie) wpływają na realizację celów i mierników biznesowych.

Podsumowując, gdy nie ma ERM w firmie, CIO powinien szukać osób odpowiedzialnych za realizację celów biznesowych, kierując się kryterium zakresu obowiązków danej osoby lub zakresem działalności danej komórki organizacyjnej.