Strategie zarządzania ryzykiem: lina wspinaczkowa, której potrzebuje twoja organizacja

Czy odważyłbyś się wspinać się po skałach bez odpowiedniej liny, uprzęży, urządzenia samoblokującego i partnera, który pomógłby ci w drodze w górę i w dół? Prawdopodobnie nie. Nawet jeśli jesteś na tyle dobry, że nie spadniesz, ryzyko jest zbyt duże, aby je zignorować. Chociaż istnieje coś takiego jak wspinaczka solo bez zabezpieczeń, podejmują się jej tylko najbardziej zaawansowani wspinacze, którzy mają duże upodobanie do ryzyka. Prowadzenie organizacji nie zawsze przebiega gładko. Musisz pamiętać o zagrożeniach, które wiążą się z awansowaniem na rynku. Potrzebujesz odpowiedniego wyposażenia, tj. właściwych strategii zarządzania ryzykiem, aby je ograniczyć.

Skuteczny plan zarządzania ryzykiem pozwala zapobiegać stratom finansowym i utracie reputacji, uniknąć naruszenia przepisów i zdobyć zaufanie.

Promowanie zgodności z przepisami

W niektórych branżach strategia zarządzania ryzykiem nie jest kwestią wyboru. Na przykład instytucje finansowe w UE (Unii Europejskiej) muszą przestrzegać przepisów DORA (Digital Operational Resilience Act), które zawierają surowe regulacje dotyczące zarządzania ryzykiem ICT (technologii informacyjno-komunikacyjnych). Nieprzestrzeganie wymogów prawnych okazało się poważnym zagrożeniem. Nie jest to żart, ponieważ organy regulacyjne nie boją się nakładać kar na osoby naruszające przepisy. W przypadku firmy Equifax została ona zobowiązana do zapłacenia grzywny w wysokości 575 milionów dolarów z powodu utraty danych osobowych i finansowych 150 milionów konsumentów, ponieważ jej baza danych była podatna na ataki hakerów.

Eliminowanie strat reputacyjnych

W 2016 r. centrum operacyjne linii lotniczych Delta Airlines zostało sparaliżowane na pięć godzin. Kosztowało to firmę 150 milionów dolarów, ponieważ linia lotnicza została zmuszona do odwołania około tysiąca lotów i zwolnienia kolejnego tysiąca. Jest to jeden z przykładów zarządzania ryzykiem, które nie wiąże się wyłącznie ze stratami. Delta promowała się jako linia lotnicza, która zawsze jest punktualna i nie odwołuje lotów. Można uznać, że utrata reputacji jest dla linii lotniczej jeszcze bardziej kosztowna niż odwołanie i uziemienie lotów.

Zabezpieczenie wyniku finansowego

Kiedy organizacje są zaskoczone, może to was kosztować fortunę. Konsekwencje naruszenia bezpieczeństwa danych mogą skutkować milionowymi karami. Nagłe awarie lub niedostępność usług przekładają się na utratę przychodów. Weź pod uwagę ryzyko związane z zgodnością jako przykład. Meta (Facebook) była pierwszą firmą, która zapłaciła grzywnę w wysokości 1,2 mld euro za naruszenie unijnych przepisów dotyczących ochrony danych.

Zapobieganie problemom, zanim spowodują one spustoszenie

Dobre podejście do zarządzania ryzykiem nie ogranicza się wyłącznie do zarządzania ryzykiem. W równym stopniu ustanawia ono strukturę określania rzeczywistych zrealizowanych ryzyk i radzenia sobie z nimi, zanim spowodują one znaczne straty finansowe. Przykładowo może to obejmować stworzenie potężnego, zautomatyzowanego systemu wykrywania anomalii, który pozwoliłby na wykrywanie potencjalnych naruszeń bezpieczeństwa na wczesnym etapie.

Budowanie zaufania klientów i inwestorów

Skuteczne ramy zarządzania ryzykiem wysyłają jasny sygnał do inwestorów: masz wszystko pod kontrolą. Niska ekspozycja na ryzyko i odpowiednie zarządzanie nieuniknionymi zagrożeniami chronią ich inwestycje przed utratą finansów i reputacji. Klienci są bardziej skłonni zaufać firmie, która odpowiednio zarządza ryzykiem, w szczególności w zakresie danych osobowych. Zabezpieczenie informacji o klientach jest najważniejszym aspektem budującym zaufanie konsumentów do firmy.

Zanim zaczniesz wybierać metody zarządzania ryzykiem, musisz utworzyć zespół ds. zarządzania ryzykiem w przedsiębiorstwie (jeśli jeszcze tego nie zrobiłeś). Grupa ta będzie stale wykrywać i monitorować ryzyko, zajmować się nim oraz optymalizować strategię w zależności od pojawiających się zagrożeń. Zespół ds. zarządzania ryzykiem w przedsiębiorstwie skupia:

• Zarząd, jako przedstawiciel lub komitet na szczeblu zarządu, sprawuje nadzór korporacyjny nad zespołem
• Zespół jest kierowany przez dyrektora ds. ryzyka (CRO), który nadzoruje wdrażanie strategii i ciągłe doskonalenie.
• Dyrektor operacyjny (COO) oferuje ogólny przegląd wszystkich codziennych operacji i pomaga w rozpoznawaniu luk w zarządzaniu ryzykiem oraz eliminowaniu ryzyka
• Dyrektor finansowy (CFO) przedstawia informacje dotyczące ryzyka dla przychodów i rentowności oraz ryzyka ubezpieczeniowego (w stosownych przypadkach) oraz ryzyka dla przychodów i rentowności.
• Dyrektor ds. prawnych przedstawia swoją opinię na temat kwestii prawnych dotyczących organizacji i możliwości ponoszenia odpowiedzialności.
• Dyrektor ds. zgodności czuwa nad pełną zgodnością z przepisami dotyczącymi bezpieczeństwa zarządu i pracowników poprzez cyberbezpieczeństwo
• Dyrektor ds. informatyki (CIO) zarządza ryzykiem informatycznym i poprawia ciągłość działania firmy w przypadku jego wystąpienia.
• Dyrektor ds. zasobów ludzkich (CHRO) zajmuje się ryzykiem związanym z pracownikami
• Dyrektor ds. komunikacji przedstawia informacje na temat ryzyka utraty reputacji, które może wystąpić.
• Kierownicy działów, którym przypisano rolę właścicieli ryzyka, przedstawiają praktyczne informacje na temat ryzyka w swoich działach biznesowych.

Unikanie ryzyka, ograniczanie ryzyka, dzielenie się ryzykiem, przenoszenie ryzyka i zatrzymywanie ryzyka to najczęściej stosowane metody zarządzania ryzykiem.

Unikanie ryzyka

Taka strategia zarządzania ryzykiem oznacza brak działań obarczonych wysokim ryzykiem i potencjalnie szkodliwych dla organizacji. Co jest typowym wskaźnikiem konieczności jej zastosowania? Należy ustalić, czy ryzyko nie przewyższa potencjalnych korzyści. Alternatywnie, mogą istnieć zagrożenia, które stanowią egzystencjalne zagrożenie dla organizacji.

Zapobieganie stratom/ograniczanie ryzyka

Niektórych zagrożeń nie da się całkowicie wyeliminować. Na przykład nie można całkowicie wykluczyć ryzyka wystąpienia niekorzystnych warunków pogodowych. Możesz jedynie zapobiegać stratom lub je ograniczać. Przykładowo, ograniczenie ryzyka można osiągnąć poprzez zainstalowanie otworów wentylacyjnych i pomp ściekowych w celu zmniejszenia szkód spowodowanych powodzią. Minimalizacja ryzyka w sektorze opieki zdrowotnej jest zazwyczaj realizowana w ramach profilaktyki.

Podział ryzyka

Nie możesz uniknąć lub zmniejszyć ryzyka? Zamiast tego możesz podzielić się ryzykiem, co pozwoli ograniczyć narażenie. W tym podejściu do zarządzania ryzykiem, w przypadku wystąpienia ryzyka, straty są dzielone między różne strony, a wpływ na każdą z nich jest łagodzony. Dobrym przykładem podziału ryzyka jest udział w kapitale zakładowym: w przypadku, gdy firma nie osiąga zysków, straty są dzielone między inwestorów firmy.

Przeniesienie ryzyka

Jest to strategia przenoszenia ryzyka, w ramach której ryzyko jest zlecane stronie trzeciej. Jest to odpowiednia metoda zarządzania ryzykiem, gdy ryzyko jest zbyt duże, aby organizacje mogły samodzielnie zarządzać stratami. Przeniesienie ryzyka zazwyczaj odnosi się do ubezpieczenia od klęsk żywiołowych lub sporów sądowych. Umowa o świadczenie usług pozwala również na przeniesienie ryzyka na podwykonawcę.

Akceptacja/zachowanie ryzyka

Kiedy wszystkie inne strategie zarządzania ryzykiem zostały wyczerpane, ostateczną opcją jest akceptacja ryzyka. Akceptacja ryzyka oznacza, że a) nie da się go wyeliminować lub b) koszty zastosowania alternatywnych strategii przewyższają korzyści. Aby zastosować zatrzymanie ryzyka, musisz odłożyć budżet i inne zasoby, które byłyby potrzebne do zaradzenia skutkom tego ryzyka rezydualnego. Ryzyko to może przybierać formę regularnych skarg klientów lub drobnych problemów operacyjnych, np.

Firma ubezpieczeniowa jest również narażona na różne rodzaje ryzyka w porównaniu np. z start-upem technologicznym. Analiza ich potencjalnego wpływu zazwyczaj obejmuje połączenie następujących metod oceny ryzyka.

Ilościowa ocena ryzyka

Ilościowa ocena ryzyka pozwala przypisać liczbę do potencjalnego kosztu każdego ryzyka i odpowiednio ustalić priorytety ryzyka. Powodem, dla którego ilościowa analiza ryzyka jest tak atrakcyjna, jest fakt, że jej wyniki są mierzalne i obiektywne, łatwe do zrozumienia i porównania. Jednak ilościowa ocena ryzyka nie jest rozwiązaniem uniwersalnym. Istnieją organizacje, które mogą nie dysponować wysokiej jakości informacjami niezbędnymi do oszacowania potencjalnych strat. Niektóre skutki, takie jak utrata reputacji, mogą być w ogóle niemierzalne. Typowe techniki ilościowej analizy ryzyka obejmują:

• Trzypunktowa prognoza: opracuj najlepsze prognozy dotyczące najlepszego, najbardziej prawdopodobnego i najgorszego scenariusza, aby uzyskać najlepsze prognozy.
• Analiza drzewa decyzyjnego: jest to technika polegająca na narysowaniu diagramu ilustrującego możliwy efekt różnych opcji decyzyjnych
• Przewidywana wartość pieniężna: określenie środków finansowych i czasu na wypadek nieprzewidzianych okoliczności
• Analiza wrażliwości: oszacowanie ryzyka, które będzie miało największy wpływ na proces lub projekt
• Symulacja Monte Carlo: Obliczanie prawdopodobieństwa różnych wyników w procesie, który obejmuje zmienne losowe
• Analiza drzewa błędów: stworzenie diagramu w celu określenia czynników, które mogą powodować awarie systemu

Jakościowa ocena ryzyka

Dzięki tej technice oceny ryzyka możesz zidentyfikować obszary wymagające dalszej analizy i praktycznie nimi zarządzać. Angażuje ona osoby w organizacji w dyskusję na temat ryzyka i jego możliwych skutków. Metody jakościowe to:

• Keep It Super Simple (KISS): Oceniaj zdarzenia ryzyka w prostej skali od (bardzo wysokie) do (bardzo niskie).
• Prawdopodobieństwo/wpływ: oceniaj prawdopodobieństwo wystąpienia ryzyka i jego wpływ w skali od 1 do 10 lub od 1 do 5 na dwuwymiarowym wykresie

Jakościowa ocena ryzyka uwzględnia czynniki, które trudno jest określić ilościowo. Z drugiej strony opiera się ona na osobistych odczuciach i poglądach, przez co może być obciążona subiektywizmem.

Ocena ryzyka oparta na aktywach

Metoda ta pozwala rozpoznać zagrożenia, które mogą mieć wpływ na aktywa organizacji, w tym sprzęt, nieruchomości i własność intelektualną. Obejmuje ona:

• Przygotuj listę wszystkich dostępnych zasobów.
• Ocena skuteczności obecnych środków kontroli ryzyka
• Zwróć się do właścicieli aktywów o pomoc w sporządzeniu listy potencjalnych zagrożeń dla każdego aktywa.
• Oprócz identyfikacji ryzyk należy ustalić ich priorytety pod względem prawdopodobieństwa wystąpienia i intensywności skutków.

Chociaż oceny ryzyka oparte na aktywach dają łatwe do zrozumienia wyniki, nie uwzględniają one niektórych rodzajów ryzyka związanych z polityką lub procesami organizacji.

Ocena ryzyka oparta na podatnościach

Metoda ta polega na ujawnianiu słabych punktów każdej organizacji lub systemu. Ocena oparta na podatnościach obejmuje: zamiast zaczynać od listy aktywów firmy.

• Identyfikacja istniejących słabości i nieefektywności organizacyjnych/systemowych
• Określenie sposobu, w jaki te słabe punkty mogą zostać wykorzystane
• Ocena potencjalnego wpływu każdego z exploitów

Chociaż metoda ta zapewnia bardziej zrównoważoną perspektywę ryzyka, ma jedną wadę: opiera się na znanych lukach w zabezpieczeniach. W związku z tym luki, które nie zostały jeszcze usunięte, nadal będą stanowić zagrożenie.

Wybór odpowiedniej kombinacji strategii zarządzania ryzykiem wymaga doskonałego zrozumienia ryzyka organizacji i jego potencjalnego wpływu. Dlatego nie ma możliwości udzielenia uniwersalnej porady dotyczącej zarządzania ryzykiem w odniesieniu do tej lub innej strategii. Mimo to w niektórych przypadkach organizacje wolą stosować określone strategie:

• Strategię unikania ryzyka należy stosować w przypadkach, gdy potencjalny wpływ ryzyka jest większy niż korzyści płynące z danego działania.
• Ograniczanie ryzyka jest właściwym rozwiązaniem, gdy nie ma możliwości, aby tego nie robić, ale nadal mogą istnieć środki kontroli ryzyka.
• Podział ryzyka wiąże się z projektami, które są zbyt duże lub zbyt skomplikowane, aby mogła nimi zarządzać jedna strona.
• Zatrzymanie ryzyka jest powszechne w przypadku ryzyk o niewielkim wpływie, które są normalne w codziennej działalności.
• Przenoszenie ryzyka stosuje się zazwyczaj w przypadku ryzyka o dużym znaczeniu i na dużą skalę, którego obsługa byłaby dla organizacji zbyt kosztowna.

Poziom ryzyka, apetyt na ryzyko kluczowych interesariuszy i zasoby będą jednak decydować o wyborze strategii, którą przyjmiesz.

Proces zarządzania ryzykiem składa się z pięciu etapów, a mianowicie identyfikacji ryzyka, oceny ryzyka, planu postępowania z ryzykiem, wdrożenia, monitorowania i udoskonalania.

1. Identyfikacja ryzyka

Pierwszą rzeczą, którą musisz zrobić, jest uzyskanie ogólnego przeglądu wszystkich potencjalnych zagrożeń, na jakie narażona jest twoja organizacja. Udokumentuj wszystkie zidentyfikowane zagrożenia w dokumencie, takim jak rejestr zagrożeń – baza danych zawierająca informacje o zagrożeniach, ich prawdopodobieństwie wystąpienia i potencjalnym wpływie, podmiotach odpowiedzialnych za zagrożenia oraz wybranych strategiach postępowania z zagrożeniami. Aby określić wszystkie możliwe ryzyka:

• Przekaż je pracownikom pierwszej linii, a także kierownictwu wyższego szczebla za pomocą ankiet, burzy mózgów i wywiadów.
• Zbadaj historyczne przypadki wystąpienia ryzyka i znajdź ich przyczyny
• Wyciągaj wnioski dotyczące ryzyka przy pomocy danych historycznych w formie analizy danych

W tych siedmiu kategoriach ryzyka należy wziąć pod uwagę ryzyko wewnętrzne i zewnętrzne:

2. Analiza ryzyka

Nadszedł czas, aby określić poziom dotkliwości każdego ze zidentyfikowanych zagrożeń. Dla każdego zagrożenia określ:

• Ryzyko związane z wystąpieniem zdarzenia, które w przypadku jego wystąpienia będzie miało negatywny wpływ na organizację
• Czynniki wewnętrzne i zewnętrzne, które mogą spowodować wystąpienie ryzyka
• Prawdopodobieństwo wystąpienia zdarzenia ryzyka
• Wpływ zdarzenia ryzyka
• Ramy czasowe lub szybkość, z jaką może wystąpić ryzyko

Wyniki można zebrać w macierzy ryzyka, gdzie na jednej osi znajduje się prawdopodobieństwo wystąpienia ryzyka, a na drugiej – dotkliwość skutków. Po przeprowadzeniu oceny możesz sklasyfikować ryzyka od najpoważniejszych do najmniej poważnych.

3. Plan postępowania z ryzykiem

W przypadku ryzyka należy najpierw zdecydować się na strategię: unikanie, ograniczanie, dzielenie się, przenoszenie lub zatrzymywanie. W przypadku tego samego ryzyka można połączyć kilka rodzajów strategii zarządzania ryzykiem. Następnie przedstaw plan zarządzania ryzykiem dla każdego ryzyka, działania związane z zarządzaniem ryzykiem, polityki i kontrole administracyjne mające na celu zmniejszenie ryzyka. Wybierz również odpowiednie miary ryzyka, które należy stosować.

4. Wdrożenie zarządzania ryzykiem

Po ustaleniu planu nadszedł czas na jego wdrożenie. Pamiętaj, aby poinformować kluczowych interesariuszy o ryzyku, aby byli świadomi i odpowiednio uczestniczyli w procesach zarządzania ryzykiem. Oprócz tego wprowadź system, który będzie monitorował wskaźniki ryzyka określone w poprzednim kroku. Możesz również opracować rozwiązanie do analizy danych, aby uzyskać wnioski na podstawie takich informacji.

5. Monitorowanie i udoskonalanie

Zarządzanie ryzykiem nie jest projektem; jest to proces, który powinien być realizowany w sposób ciągły. Aby efektywnie zarządzać ryzykiem:

• Monitoruj na bieżąco miary ryzyka, np. wskaźnik płynności lub czas przestoju sprzętu.
• Regularnie przeglądaj rejestr ryzyka, ponownie oceniaj ryzyko i zwracaj uwagę na pojawiające się nowe zagrożenia.
• Stale monitoruj sytuację i wdrażaj środki ograniczające ryzyko
• Przetestuj i popraw swoje plany łagodzenia skutków i środki kontroli
• Uzyskaj porady dotyczące praktyk zarządzania ryzykiem od kluczowych interesariuszy.
• Przeprowadzaj regularne audyty wewnętrzne.

Analityczne i strategiczne myślenie, umiejętności interpersonalne i przywódcze, a także wiedza z zakresu regulacji i finansów to najcenniejsze umiejętności w zarządzaniu ryzykiem.

Myślenie analityczne

Zarządzanie ryzykiem obejmuje analizę różnych danych. Skuteczny menedżer ds. ryzyka jest w stanie podejmować mądre decyzje w oparciu o zebrane informacje oraz biorąc pod uwagę czynniki ilościowe i jakościowe.

Myślenie strategiczne

Osoby zarządzające ryzykiem muszą mieć kompleksowy obraz strategii firmy i roli, jaką odgrywa zarządzanie ryzykiem. Nie mogą działać optymalnie bez ogólnego obrazu sytuacji i identyfikacji możliwości, które ich partnerzy mogli przeoczyć.

Ludzie i umiejętności komunikacyjne

Aby zarządzanie ryzykiem było skuteczne, konieczna jest ścisła współpraca między różnymi działami. Rolą menedżera ds. ryzyka jest zapewnienie współpracy głównych interesariuszy i uzyskanie informacji zwrotnych.

Indywidualne kompetencje w zakresie zarządzania i przywództwa

W pewnym momencie menedżerowie ds. ryzyka są zmuszeni do wdrożenia praktyk zarządzania ryzykiem w organizacji. Wymaga to umiejętności motywowania pracowników do kontynuowania działań mających na celu ograniczanie ryzyka oraz prowadzenia szczerej dyskusji na temat ryzyka.

Znajomość przepisów

Każda metoda zarządzania ryzykiem będzie najprawdopodobniej podlegać różnym regulacjom. Dlatego też menedżerowie ds. ryzyka muszą rozumieć prawne wymogi dotyczące zarządzania ryzykiem oraz sposoby ich praktycznego zastosowania.

Wiedza finansowa

Od menedżerów ds. ryzyka oczekuje się niemal codziennego mierzenia ryzyka. Nie jest to możliwe bez posiadania rozległej wiedzy finansowej na temat kosztów awarii sieci oraz strat finansowych spowodowanych awarią sprzętu.

Podsumowując, podobnie jak alpinista polega na linach i uprzężach zapewniających mu bezpieczeństwo, tak firma musi stosować solidne strategie zarządzania ryzykiem, aby uniknąć potencjalnych pułapek. Niezależnie od tego, czy chodzi o unikanie, ograniczanie, dzielenie się, przenoszenie czy zatrzymywanie ryzyka, każde z tych podejść ma kluczowe znaczenie dla ograniczenia strat finansowych, operacyjnych i utraty reputacji. Ta holistyczna strategia zagwarantuje firmom możliwość wcześniejszego reagowania na słabe punkty i odporność, co zapewni im długoterminowy sukces i zrównoważony rozwój.