Analiza ryzyka

Zarządzanie ryzykiem w praktyce

W opublikowanym ostatnio przez jeden z miesięczników rankingu TOP 500 firm środkowo-wschodniej Europy zabrakło firmy Edwarda Potockiego. Kto mógł przewidzieć, że tak zakończy działalność jedna z wiodących firm produkcyjnych w kraju. Sam właściciel, chyba nie był w stanie przypuszczać, że taki nieszczęśliwy zbieg okoliczności zadecyduje o być albo nie być firmy Metale S.A.. Choć prasa jednoznacznie oceniła tą sytuację jako beznadziejną, to można się jednak nauczyć czegoś na cudzych błędach. Spróbujmy zatem przyjrzeć się bliżej tym tragicznym w rozumieniu biznesowym w skutkach wydarzeniom.

Cofnijmy się do początków. Młody Potocki mając lat dwadzieścia klika rozpoczął swój pierwszy biznes oferując usługi naprawy rowerów w podwórkowym garażu na jednej z ulic Poznania. Interes ten pomógł mu rozkręcić dziadek, który z zamiłowania konstruował różnego typu pojazdy na bazie części rowerowych. Trzeba przyznać, że młody Potocki doskonale odnalazł się w dżungli usług, a jego biznes w krótkim czasie zaczął przynosić zyski, które starczały na zaspokojenie jego prywatnych potrzeb. Długo ta sytuacja jednak nie trwała, bo za radą dziadka, jak i ojca, zaczął myśleć o własnym warsztacie z „prawdziwym szyldem”. Wówczas już wiedział, że musi się rozwijać i budować coś co przyczyni się do zmiany krajobrazu biznesowego w kraju. W krótkim czasie zorganizował skup złomu, który w połączeniu ze świadczeniem usług w zakresie drobnego montażu elementów metalowych rozrósł się do zupełnie pełnoprawnej firmy. Dwa lata, które minęły od podwórkowego interesu zakończyły się powstaniem firmy Metale Edward Potocki, zajmującej się skupem, obróbką i spajaniem elementów metalowych.

Od tego momentu właściciel sukcesywnie zaczął powiększać wydajność firmy i śmiało świadczyć to co bardziej skomplikowane usługi. W między czasie nastąpiła przeprowadzka do nowych budynków, a z każdym tygodniem przybywało nowych pracowników. Nowe technologie sprowadzane z zagranicy, oraz dobra kooperacja z pomiotami uzupełniającymi działalność Metale, pozwoliła na prężny rozwój firmy. W roku 2004 czyli dwa lata przed upadkiem, Metale było spółką giełdową zatrudniającą blisko półtora tysiąca pracowników i odnotowującą zyski rzędu 300 mln złotych rocznie.

Patrząc na historię firmy, która powstała od podstaw dzięki wyobraźni Potockiego jak i pomocy rodziny, można zapytać jak osiągnąć taki sukces. Odpowiedź jest jedna, tak duża firma pod koniec 2004 roku nadal była dynamiczną organizacją, szybko i skutecznie wprowadzającą zmiany w procesach produkcyjnych jak i zasadach organizacyjnych. W Metale S.A. od 2002 roku sprawnie funkcjonował system zarządzania zgodny z standardami międzynarodowymi, który następnie został uzupełniony o Lean Manufacturing i SixSigma. Na efekty nie było trzeba czekać długo. Każdy pracownik miał możliwość zgłaszania, choćby najdrobniejszych pomysłów na optymalizację pracy, co jednoznacznie przekładało się na efektywność spółki. Kluczem do sukcesu był sprawny obieg informacji wewnętrznej, oraz kompetentny personel. Nawet jeśli decyzja o zmianie parametrów produkcji zapadała w nocy, rano całość spółki była gotowa do pracy zgodnie z nowymi zasadami. Ta elastyczność w połączeniu z smykałką innowacyjności kadry zarządzającej dawała piorunujące efekty.

Rok 2005, przyniósł liczne nagrody i wyróżnienia, a sam model biznesu był podawany za wzór w środowiskach kierowniczych innych firm. Niespotykana dotąd charyzma Zarządu wpływała pozytywnie na działania firmy. Powstaje w takim bądź razie pytanie w jaki sposób, ten wzór stawiany na piedestale tak szybko z niego spadł i znikł…

Wymaga to spojrzenia trochę głębiej w mechanizmy funkcjonowania firmy Metale S.A. Głównym trzonem działalności i właściwie decydującym o istnieniu firmy było wytwarzanie konstrukcji i mechanizmów z elementów metalowych pod konkretne zamówienia. Część zamówień pochodziła z zagranicy, a część z kraju. Spółka działała w rygorze zleceń od podmiotów współpracujących. Stąd wymagany był taki sposób zarządzania, który w krótki czasie pozwoliłby na zmianę parametrów linii technologicznych, przy zachowaniu określonej jakości i efektywności. W dodatku równolegle, prawie zawsze trwały prace związane z  wdrożeniem nowinek technologicznych, bo w ten sposób spółka mogła zyskać przewagę nad konkurentami w Europie. W celu sfinansowania tych inwestycji firma zaciągnęła kredyty, co jest naturalną koleją rzeczy w rozwoju firm. Z początkiem roku 2006 Metale pozyskało zlecenie z zagranicy na złożenie modułów wykorzystywanych do budowy rurociągów. Zleceniodawcą był turecka firma, a cały kontrakt rozliczany był po zakończeniu całej dostawy. Do zrealizowania zlecenia Metale potrzebowała dostawcy łączników niezbędnych do konstrukcji modułów. Dlatego też podpisała umowę z dostawcą tych elementów z Chorwacji, a jako waluta rozliczeniowa zostało wybrane euro. Cała linia technologiczna została sprawnie skonfigurowana do budowy modułów, a najważniejszym elementem było urządzenie spajające części w komorze z argonem. Zgodnie z założeniami uruchomiono realizację zlecenia, choć występowały pewne nieporozumienia między Zarządem, a dyrektorem produkcji. Pierwsze moduły były pakowane i magazynowane, a dalej wysyłane do Turcji.

Pierwszą oznaką kłopotów były trudności z wdrożeniem nowej technologii w czasie gdy obok produkowano moduły rurociągu. Nie były to wielkie problemy, i wcześniej pracownicy już spotykali się z takimi sytuacjami, jednakże nigdy nie można wszystkiego przewidzieć. Przeciwny wdrożeniu tej technologii był dyrektor produkcji, który uważał że konkurencyjna technologia jest bardziej przyszłościowa. Od tego momentu bieg wydarzeń nabrał tempa. Awarii uległo urządzenie spajające części modułów. Najbardziej prawdopodobną przyczyną awarii okazał się błąd pracownika w codziennej obsłudze utrzymaniowej co doprowadziło do rozszczelnienia komory. Niestety naprawa komory była niemożliwa, i jedynym wyjściem była kosztowna wymiana. W tym celu firma zaczęła starać się o kredyt na sfinansowanie naprawy, a jednocześnie podjęła wysiłki w celu uruchomienia awaryjnej linii produkcyjnej. Rozwiązaniem było wykorzystanie wprowadzonej dopiero co nowej linii z technologią, której przeciwnikiem był dyrektor produkcji. Tymczasowo taki sposób przyniósł oczekiwane korzyści, jednakże obniżyła się wydajność produkcji, co prowadziło do niedotrzymania terminów dostaw. Wydawało się, że sytuacja została opanowana, gdy dostawy łączników z Chorwacji zaczęły przychodzić z opóźnieniem co wpłynęło ponownie na obniżenie efektywności produkcji. Firma chcąc uzyskać możliwość wzięcia kredytu pod zastaw kolejnego zlecenia, zaczęła poszukiwać podmiotów, które chciałbym skorzystać z jej usług. Niestety nastąpiły znaczne trudności z pozyskaniem tych zleceń, ponieważ na rynku zaczął panować trend korzystania z wykonawców chińskich, którzy nawet po doliczeniu kosztów transportu produkowali taniej. Dodatkowo bieżąca kalkulacja kosztów produkcji modułów, na awaryjnej linii po doliczeniu odsetek za opóźnienia obnażyła zbliżające się problemy finansowe. Prognozę pogorszył spadek wartości złotego w stosunku do euro, co oznaczało, że chorwackie łączniki będą kosztować znacznie więcej. Przysłowiowym gwoździem do grobowej deski, była awaria linii awaryjnej. Usterka podajnika precyzyjnego wykluczyła możliwość dalszej produkcji modułów.

Awaria linii technologicznej, brak kredytu na naprawę, opóźnienie dostaw łączników, konkurencja z Chin, obniżenie wartości złotego, usterka awaryjnej linii jak się później okazało spowodowanej sabotażem postawiły firmę między przysłowiowy młotem, a kowadłem. Z jednej strony była ona związana umowami na dostawę modułów, umowami kredytowymi, a z drugiej strony nie było możliwości produkcji. Cień nadziei pojawił się jeszcze za sprawą wykupionego wcześniej ubezpieczenia, jednakże okazało się błędy w utrzymaniu oraz sabotaż nie jest objęty umową ubezpieczeniową. Żądania tureckiego zleceniodawcy, żądania zapłaty chorwackiego dostawcy łączników, żądania spłaty kredytów przez banki, brak pieniędzy na sfinansowanie naprawy linii technologicznych wpłynęły na decyzję o postawieniu Metale S.A. w stan upadłości.

To wszystko brzmi jak jeden niewiarygodny zbieg okoliczności, a jednak takie sytuacje, choć może na mniejszą skale, albo tylko wybrane, zdarzają się w codzienności organizacji. Spróbujmy zorientować się co tak naprawdę się stało…

Analiza przypadku firmy Potockiego

Pierwsza myśl jaka nasuwa się to zapewne – nieszczęśliwy zbieg okoliczności. Jednak gdybyśmy przyjrzeli się bliżej temu przypadkowi znajdziemy drugie dno problemów. Czego zabrakło tej świetnie zarządzanej organizacji – zabrakło zarządzania ryzykiem!

Ryzyko to pojęcie trudne do sprecyzowanie, co często prowadzi do nieporozumień. W uproszczeniu można mówić że zarządzanie ryzykiem polega na zarządzaniu ryzykiem zdarzeń. Oczywiście pod pojęciem samego ryzyka rozumieć należy konsekwencje zdarzeń ważone prawdopodobieństwem. Natomiast zarządzanie ryzykiem, to świadome identyfikowanie i mierzenie ryzyk, a następnie podejmowanie decyzji na podstawie zdobytej wiedzy. Elementem zarządzania jest również monitorowanie ryzyk, jak i komunikowanie ich. Wszystkie powyższe stwierdzenia mogą wydać się mało zrozumiałe, dlatego też dalej postarano się omówić szczegółowiej ideę zarządzania ryzykiem.

Wprowadzając w zagadnienia zarządzania ryzykiem, należałoby przyjąć pewien ogólny model, który posłużyłby do zobrazowania konkretnych mechanizmów. Zarządzanie ryzykiem skupia się wokół rozważań na temat zdarzeń, które mogą się wydarzyć. Zazwyczaj rozważa się negatywną stronę ryzyka, czyli skutki w postaci strat. Jednakże termin ten, również oznacza nie tylko porażkę, ale również szansę. Dlatego też można mówić również o ryzyku pozytywnym. W dalszej części przyjmuje się uogólnioną definicję ryzyka, dotyczącą negatywnych oddziaływań zdarzeń. W tym miejscu warto również nadmienić, że wyróżniamy różne typy ryzyka, ze względu na źródło pochodzenia. I tak, bazując na przypadku Potockiego: awaria linii, opóźnienia w dostawie – to tzw. ryzyko operacyjne, nie otrzymanie kredytu związane jest z ryzykiem finansowym (dokładniej kredytowym), spadek wartości złotego z ryzykiem finansowym (dokładniej walutowym), a konkurencja to ryzyko strategiczne.

Generalnym celem zarządzania ryzykiem jest podejmowanie jak najbardziej trafnych decyzji, które mają zwiększyć wartość organizacji. Brak gromadzenia wiedzy o ryzykach, nie oznacza że takich ryzyk nie ma. Ryzyka te istnieją i są jeszcze groźniejsze, przez to że nie jesteśmy ich świadomi, więc nie jesteśmy w stanie świadomie przygotować organizacji na wpływ pewnych zdarzeń. Poprawne wdrożenie systemu zarządzania ryzykiem biznesowym wiąże się z tym, że wiedza o ryzykach i ich ocena będzie gromadzona, najwyższe kierownictwo będzie mogło wykorzystać tą wiedzę do podejmowania decyzji, co jednoznacznie przekłada się na wzrost konkurencyjności, podniesienia jakości i bezpieczeństwa organizacji.

Zarządzanie ryzykiem może odbywać się w jednym, w kilku lub we wszystkich obszarach działalności organizacji. Analogicznie zarządzanie ryzykiem może ograniczyć się do jednego typu ryzyka (np. finansowego), kilku wybranych, lub wszystkich. Oczywiście najlepszą metodą jest zarządzanie wszystkim typami ryzyk. Należy również pamiętać, że sposób zarządzania, powinien odpowiadać celom strategicznym organizacji oraz ładowi korporacyjnemu.

Po podjęciu decyzji o typach ryzyk i obszarach organizacji podlegających zarządzaniu nadchodzi czas na wykonanie pierwszego kroku w pętli procesu zarządzania ryzykiem – czyli szacowanie.

Szacowanie ryzyka

Niezbędnym działaniem, aby można było mówić o tym, że organizacja zarządza ryzykiem jest identyfikacja źródeł ryzyka. Posługując się przypadkiem firmy Potockiego, jest to pierwsze kluczowe działanie, które w sposób systemowy nie było przeprowadzone. Gdyby wykonano taką analizę, zapewne by zidentyfikowano takie źródła ryzyka jak nieprawidłowa konserwacja komory spajania, czy choćby zmieniającą się sytuację na rynku zleceń i pojawienie się nowej konkurencji z Chin. Identyfikacja jest etapem pomagającym zrozumieć funkcjonowanie firmy, i umożliwia wskazanie źródeł ryzyka.

Analiza ryzyka

Identyfikacja – jest działaniem bardzo trudnym i wymagającym wszechstronnej wiedzy jak i systematycznego podejścia. Analogicznie, dobre zarządzanie magazynem produktów wymaga kompletnej wiedzy na temat stanu magazynowego. Tak samo jest w tym przypadku, kompletna wiedzy o źródłach ryzyk, pomaga zbudować obiektywny obraz organizacji. Jednakże, w tak płynnej materii jak ryzyko, nie jest możliwa kompletna wiedza, co najwyżej pewne przybliżenie.

Stosuje się różne podejścia do identyfikacji źródeł ryzyka. Bazują one na badaniu procesów, badaniu wykorzystywanych technologii, badaniu stanu posiadania materialnego i niematerialnego organizacji. Wybór podejścia często uzależniony jest od specyfikacji branży, jak i potrzeb w tym zakresie. Nie istnieje jedna idealna metoda identyfikacji źródeł ryzyka.

Do określenia źródeł ryzyka – stosuję się przykładowo analizę procesów pod kątem punktów krytycznych, które mogą wpłynąć negatywnie na funkcjonowanie procesu; analizę stosowanej technologii pod kątem czynników ryzyka (np. rozlanie oleju może powodować ryzyko dla bezpieczeństwa pracy); burzę mózgów wybranego grona pracowników, którzy określają zagrożenia dla organizacji według ich stanu wiedzy, itp.

Efektem tego działania jest baza wiedzy na temat źródeł ryzyka, która będzie podstawą do podejmowania decyzji.

Wartościowanie ryzyka – jest to czynność polegająca na opisaniu ryzyk. Uważa się, że jest to najtrudniejszy element zarządzania ryzykiem i jest głównym determinantem sukcesu w tym obszarze. W uproszczeniu można powiedzieć, że czynność ta polega na nazwaniu ryzyk dotyczących organizacji i opisania ich za pomocą wybranych parametrów. W podejściu bardziej zaawansowanym na tym etapie należy podjąć decyzję, jakie są spodziewane efekty analizy ryzyka, czy chcielibyśmy poruszać się w skali strat w odniesieniu do ryzyk, czy może w skali umownej, czy też w skali przestoju poszczególnych procesów. W tym momencie należy podjąć decyzję, jakie właściwie informację są potrzebne osobom zarządzającym.

Zakładając że mamy określone i nazwane ryzyka, którymi będziemy zarządzać należy sprecyzować listę parametrów które będą opisywać każde z ryzyk. Dla każdego parametru należy przypisać wybraną skalę. Przykładowym parametrem może być częstość występowania określana w skali rocznej, albo skutek wyrażany w skali czasu przestoju procesu.

Uniwersalnymi parametrami – są prawdopodobieństwo wystąpienia zdarzenia związanego z ryzykiem, oraz konsekwencje. Najprostszym podejściem jest opisanie ryzyka za pomocą tych dwóch parametrów, a dla każdego z nich zastosowanie skali umownej od 1-3, gdzie 3 wyraża największe prawdopodobieństwo/konsekwencje. Wówczas w uproszczeniu ryzyko otrzymujemy poprzez zestawienie prawdopodobieństwa z konsekwencjami (np. matematycznie Ryzyko = Prawdopodobieństwo x Konsekwencje).

Oczywiście analiza ryzyka na podstawie powyższych uniwersalnych parametrów wskaże priorytety w zakresie zarządzania ryzyka, jednak obarczona jest ona dużą niedokładnością.

Dużo dokładniejszymi metodami są podejścia oparte na bardziej rozbudowanej gamie parametrów ryzyka i skalach nieumownych, a rzeczywistych znanych. Przykładowo, dla każdego ryzyka wskazanie parametru „wartość strat w roku poprzednim z tytułu tego zdarzenia” wyrażonego w danej walucie. Oczywiście takie podejście wymaga o wiele większego nakładu pracy, natomiast pozytywnym efektem jest fakt, że otrzymujemy więcej informacji o ryzyka.

Porządkując wiedzę, w tym etapie analizy ryzyka, należy:

  • określić listę ryzyk
  • określić parametry opisujące każde ryzyko (biorąc pod uwagę potrzeby zarządzających organizacją)
  • określić wartości parametrów dla każdego ryzyka
  • obliczyć wartość ryzyka każdego z listy

Ostatnim elementem wartościowania ryzyka, jest wskazanie metody obliczenia wartości ryzyka, tak aby można było porównać poszczególne ryzyka względem siebie. Najprostszym rozwiązaniem jest sprowadzenie wszystkiego do jednego mianownika, i matematyczne czy też uznaniowe nadanie każdemu ryzyku etykiety ważności. Przykładowo każde ryzyko można byłoby oznaczyć jedną etykietą w skali od 1-10, gdzie 10 to ryzyko największe/najważniejsze. Oczywiście decyzja o nadaniu etykiety powinna być podjęta na podstawie wartości wszystkich parametrów opisujących ryzyko. Istnieją również podejścia, które wskazują wartość ryzyka nie za pomocą jednej etykiety, ale dwóch, np. prawdopodobieństwo i skutek. Często spotykamy się z tym przypadkiem w mapach ryzyk – patrz schemat  nr 1. Gdzie ryzyko jest określane za pomocą położenia na mapie (wykresie) w ramach określonych współrzędnych.

Schemat nr 1

Wybór wyliczania wartości ryzyka powinien być również efektem określenia potrzeb osób zarządzających organizacją. Nie można wskazać jednej dobrej uniwersalnej metody wyliczania wartości ryzyka.

Odwołując się do przypadku Potockiego, zidentyfikowane ryzyka, należałoby zwartościować, a wówczas okazać by się mogło, że na przykład awaria linii awaryjnej ze względu na sabotaż jest bardzo realnym i groźnym zdarzeniem.

Podsumowując, dobrą praktyką we wdrażaniu zarządzania ryzykiem, jest wprowadzanie na samym początku, jak najprostszego modelu, który z każdym rokiem jest poszerzany i coraz bardziej zaawansowany. Rozszerzane jest spektrum informacji pozyskiwanych i dostarczanych, a analiza jest coraz dokładniejsza.

Ocena ryzyka

To proces porównywania wartości ryzyk z przyjętymi kryteriami. Działanie to powinno dać odpowiedź, które ryzyka są „bardzo groźne” dla organizacji, albo inaczej które ryzyka akceptujemy, a których nie. W zależności od przyjętej metody wyliczenia wartości ryzyka, należy zdefiniować zasadę oceny ryzyka. Kryterium może być sprecyzowane dowolnie, jednakże musi być ono stosowane systematycznie i mieć uzasadnienie. I tak przykładowo można zastosować metodę Pareto mówiącą, że 20% ryzyk o największej wartości powoduje 80% strat, i przyjąć, że tylko te 20% ryzyk jest nieakceptowanych. Inna metoda może polegać na wykorzystaniu burzy mózgów, gdzie grupa osób na podstawie wartości ryzyk decyduje o akceptowaniu lub też nie. Dla mapy ryzyka ze schematu nr 1, można wskazać zasadę oceny polegającą na odcinaniu pewnych wartości. Przykład podano na schemacie nr 2. Ryzyka o wartościach zaklasyfikowanych na czerwono są ryzykami nieakceptowanymi, na żółto to ryzyka podlegające bieżącemu monitorowaniu, a zielone to ryzyka weryfikowane podczas dorocznych przeglądów.

Schemat nr 2

W przypadku firmy Metale S.A. można byłoby się spodziewać, że ryzyko awarii komory spajania jest na tyle duże, że nie jest akceptowalne dla organizacji. Co dałoby podstawy do dalszych działań zapobiegawczych.

Informowanie o ryzyku

Wszystkie powyżej wykonane kroki zostaną spisane na marne, jeśli odpowiednio nie zadbamy o przekazanie wyników oceny ryzyka osobom podejmującym decyzję. Informowanie o ryzyku ma dwie strony, które należy rozważyć. Z jednej strony powinniśmy zapewnić, że pozyskujemy jak najdokładniejsze i jak najbardziej miarodajne informacje o źródłach ryzyk, o wartościach parametrów ryzyk, czy też potrzebach w zakresie akceptacji ryzyka. Z drugiej strony, musimy zadbać, aby wyniki szacowania ryzyka zostały uwzględnione w codziennych działaniach operacyjnych organizacji, jak i w decyzjach strategicznych. Zbudowanie odpowiedniej struktury zbierania informacji, przekazywania wyników, oceny wyników, i podejmowania działań, to znaczące wyzwanie dla osób odpowiedzialnych za zarządzania ryzykiem w organizacji.

Kultura zarządzania oparta na ryzyku – to podejście dążące do wprowadzenia na każdym szczeblu zarządzania organizacją kultury podejmowania decyzji w oparciu o dane z szacowania ryzyka. Przy jednoczesnym zrozumieniu przez kadrę zarządzającą potrzeby zbierania informacji o ryzykach, jak i wdrażania działań ograniczających ryzyko.

Z punktu widzenia metodycznego należy zapewnić odpowiednie szkolenia dla osób związanych z obszarem ryzyk, jak i wyposażyć je w odpowiednie narzędzia. Systematyzując, kulturę zarządzania opartą na ryzyku buduje się przez lata, a właściwie można mówić o pewnym doskonalącym się procesie, którego przykładowymi elementami są:

  • mechanizm organizacyjno-techniczny identyfikacji źródeł ryzyka
  • mechanizm bieżącego zbierania wartości parametrów ryzyk (może być połączony z mechanizmem zbierania incydentów w organizacji)
  • narzędzie zbierania, analizowania, oceniania ryzyka
  • mechanizm informowania najwyższego kierownictwa o wynikach szacowania ryzyka z możliwością korekt
  • mechanizm dostarczania informacji z szacowania ryzyka kadrze zarządzającej
  • mechanizm definiowania, przydzielania, i nadzorowania działań ograniczających ryzyko
  • mechanizm audytowania powyższych mechanizmów jak i efektów działań ograniczających ryzyko
  • mechanizm informowania o zmiana wpływający na bazę wiedzy o ryzykach i ich wartościach
  • mechanizm uświadamiania i propagowania zasad
  • mechanizm zapewniający, że kadra kierownicza podejmować będzie decyzje po uwzględnieniu ryzyk

Podsumowując i odwołując się do przypadku Potockiego, w firmie zabrakło świadomości o istnieniu ryzyk, a co za tym idzie, zabrakło mechanizmów raportowania i kontroli wartości ryzyk.

 


Postępowanie z ryzykiem

Posiadając wiedzę o wartości ryzyk, oraz o tym które z nich są nieakceptowane przez najwyższego kierownictwo należy określić działania mające na celu ograniczania każdego z nich. Przyjmuję się, że istnieją cztery podejścia do ryzyk nieakceptowanych.

Redukcja ryzyka – polega na wdrożeniu środków technicznych lub organizacyjnych mających za zadanie ograniczenie wielkości ryzyka. Przykładowo środkiem ograniczającym ryzyko awarii komory spajania w przypadku ryzyka błędnej konserwacji mogłaby być instrukcja codziennej konserwacji. Środkiem technicznym może być system kamer przemysłowych dozorujących linię produkcyjną, co między innymi może uchronić przed sabotażem urządzeń. Redukcja jest najczęściej stosowanym rozwiązaniem, w zakresie ograniczania ryzyka i wiąże się z minimalizacją prawdopodobieństwa wystąpienia lub konsekwencji zdarzeń.

Transfer ryzyka – polega na przeniesieniu ryzyka poza obszar organizacji. Jednocześnie należy zauważyć, że nie oznacza to automatycznego zwolnienia z zarządzania tym ryzykiem. Przeniesione może być całe ryzyko, lub też tylko wybrany aspekt np. straty finansowe. Przykładowo, wykupienie ubezpieczenia od sabotażu jest metodą transferowania ryzyka, ale tylko w aspekcie strat finansowych. Natomiast zlecenie podwykonawcy montażu modułów do budowy rurociągu, jest przykładem transferu całego obszaru ryzyk, we wszystkich aspektach. Oczywiście zastosowanie takiego rozwiązania rodzin nowe ryzyka, związane z podpisaną umową, nie wywiązywaniem się podwykonawcy z przedmiotu umowy itp.

Unikanie ryzyka – to zaprzestanie korzystania z elementu (obszaru) który jest źródłem ryzyka. Tym samym przykładem eliminacji ryzyka walutowego jest zrezygnowanie z operacji w obcych walutach. Inny przykład to zaprzestanie stosowania danej technologii dla której występuje określony obszar ryzyk. Oczywiście łatwo zauważyć, że tak jak w przypadku transferu ryzyka, tym bardzie w przypadku unikania ryzyka, nie zawsze taka metoda jest możliwa do zastosowania.

Akceptacja ryzyka – ryzyka nieakceptowane na poziomie oceny ryzyka, można zaakceptować w momencie określania sposobu ograniczania wartości ryzyka. Może się zdarzyć, że dla ryzyk podlegających ograniczaniu nie możemy zastosować ani metody transferu, ani metody unikania. Natomiast w przypadku redukcji można pokusić się o stwierdzenie, że zawsze istnieje rozwiązanie, które choćby w ułamkowym stopniu może to ryzyko ograniczyć. Jednak należy pamiętać, że w tym przypadku należy rozważyć efektywność takiego rozwiązania. Może się okazać, że nakłady potrzebne do wdrożenia takiego rozwiązania znacząco przewyższają potencjalne straty wynikające z zajścia niepożądane zdarzenia. Przykładowo nie ma sensu inwestować w zakup drugiej linii produkcyjnej, gdy straty z przestoju podstawowej nie powodują większych konsekwencji niż koszt zastępczej linii. Oczywiście należy tu również rozważyć aspekty niewymierne wystąpienia zdarzenia (np. reputacja) oraz scenariusze przypadków nakładania się ryzyk, lub występowania w łańcuchu pewnym zdarzeń.

Podsumowując postępowanie z ryzykiem to określanie sposobów ograniczania ryzyka, tak aby można byłoby sprowadzić wszystkie wartości ryzyk do poziomów akceptowanych. Wprowadzenie odpowiedniego mechanizmów definiowania zadań, nadzorowania wykonania oraz oceny skuteczności jest jednym z elementów sukcesu w obszarze zarządzania ryzykiem.

Monitorowanie ryzyka – pojawiającego się i istniejącego

Pod tym pojęciem rozumie się wprowadzenie takich mechanizmów, które na bieżąco będą mogły odnotowywać i analizować zmiany zachodzące w organizacji jak i jej otoczeniu. Wdrożenie nowej technologii niesie za sobą pojawienia się nowych źródeł ryzyka, przewartościowanie ryzyk istniejących, a co za tym idzie wpływa na bieżące decyzje. Dlatego tak ważnym elementem jest nadzorowanie zmian oraz dostarczanie wiedzy o nich osobom odpowiedzialnym za zarządzanie ryzykiem. Również samo wdrożenie rozwiązań ograniczających ryzyko wpływa na wartości ryzyk, oraz może prowadzić do postania nowych źródeł ryzyka. Pamiętać należy, że wprowadzone rozwiązania ograniczające ryzyko, powinny podlegać audytowaniu w celu określenia skuteczności ich działania. Tym samym aspekt monitorowania ryzyka, ma zapewnić aktualność informacji o ryzykach dotyczących organizacji.

Konkluzja

Systematyczne identyfikowanie źródeł ryzyk, wartościowanie ryzyk, wiarygodna oceny, skuteczny sposób wprowadzania działań zapobiegawczych, oraz bieżące monitorowanie sytuacji w organizacji jak i otoczenia, a wszystko to przy efektywnej komunikacji wewnętrznej mogło uratować firmę Potockiego – bo w skrócie to jest właśnie zarządzania ryzykiem biznesowym.

Autor tekstu
Tomasz Redliński
Manager
Departament Bezpieczeństwa, PBSG

Przypis: Firma Edwarda Potockiego i jej perypetie są wytworem wyobraźni autora, nie zmienia to faktu, że wszystkie opisane przypadki mogą zdarzyć się naprawdę. Ewentualna zbieżność postaci, podmiotów i sytuacji jest przypadkowa.