Identyfikacja ryzyk – problem czy wyzwanie?

Jak bardzo skomplikowana jest identyfikacja ryzyka?

Zarządzanie ryzykiem operacyjnym to z jednej strony narzędzie służące minimalizowaniu strat organizacji, a z drugiej sposób wewnętrznego komunikowania potencjalnych zagrożeń mających wpływ na organizację.
Problemy komunikacyjne to rzecz jasna szerszy problem, jednak w przypadku zarządzania ryzykiem istotna jest rola Menadżera Ryzyka wspierającego organizację między innymi w identyfikowaniu i nazywaniu ryzyk. Definiowanie ryzyk może wydawać się zadaniem mało skomplikowanym, stąd łatwo o popełnienie błędu na tym etapie.
Zgodnie z raportem Aon Polska Zarządzanie ryzykiem i ubezpieczeniami w Polsce (edycja 2017/2018), 46% organizacji na świecie identyfikuje zagrożenia w formalnym rejestrze. Oznacza to, że definiowane w nich ryzyka muszą być zrozumiałe i co ważniejsze jednoznaczne dla wszystkich uczestników procesu zarządzania ryzykiem.

Problemy z tym związane mają bardzo szerokie spectrum, jak między innymi niewłaściwe stosowanie list referencyjnych – ograniczanie się do nich, czy przypisywanie ryzyk poprzez skojarzenie, a nie bezpośrednią identyfikację. Innym błędem jest niezapewnienie jednolitego poziomu szczegółowości ryzyk – zróżnicowanie poziomu w zależności od obszaru zarządzania. Na przykład definiowanie bardziej szczegółowo w jednych procesach, a bardziej ogólnie w drugich, doprowadzi do sytuacji, w której ryzyka szczegółowe dotyczące węższych zagrożeń nie będą mogły być porównywane do o wiele wyżej wycenianych ryzyk ogólnych.

identyfikacja ryzyk

W końcu niewłaściwe określenie ryzyk zaburza komunikację w procesie zarządzania ryzykiem – niejednoznaczne nazwy mogą powodać chaos komunikacyjny i podejmowanie przez decydentów działań nieadekwatnych do zidentyfikowanego zagrożenia, nieodpowiadających na faktyczny problem. Z drugiej strony złe nazwanie istotnego zagrożenia będzie prowadziło w konsekwencji do jego zignorowania i braku podjęcia jakichkolwiek działań zapobiegawczych. Natomiast zbyt szczegółowe i rozbudowane nazwy ryzyk czynią rejestr ryzyk mało przystępnym.
Stąd tak istotne, aby oprócz nazw ryzyk w rejestrze znalazły się ich opisy. Co więcej definiowanie ryzyk, jak cały proces zarządzania ryzykiem wymaga iteracyjnego podejścia i doskonalenia. Choć akcent w tym zakresie kładziony jest zazwyczaj na analizę, to również redefiniowanie nazw ryzyk oraz ich opisów może przyczynić się do poprawy efektywność zarządzania ryzykiem w organizacji.

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
Czytaj, oglądaj, subskrybuj
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.