PEST w praktyce – cd.

0
34

Tworząc niniejszy wpis, uświadomiłem sobie, że już na temat PESTa, czy też analiz strategicznych pisałem wielokrotnie. Tym razem jednak nieco inny kontekst – bardziej „narzędziowy”. Jako, że stwierdziłem, że czas chyba podzielić się już pewnymi doświadczeniami  i metodami, bo prywatnie, nieco irytują mnie dyskusje specjalistów od bezpieczeństwa że to tylko teoria.

A więc dziś bardzo praktycznie, tym bardziej, że:

  • Zbliża się szkolenie we Wrocławiu (28 marca), a ryzyko strategiczne zajmie co najmniej 20 jak nie 30% czasu szkolenia.
  • Rekomendacja M – najnowsza (8 stycznia 2013) dotycząca bezpieczeństwa banków wydana przez Komisję Nadzoru Finansowego mówi o konieczności patrzenia na ryzyko operacyjne również przez pryzmat ryzyka strategicznego.
  • PEST ma się dobrze – PESTLE również. A The Orange Book w przyszłym roku będzie miał 10 lat, więc warto nieco więcej niż tylko rozważania
  • Na co dzień obracamy się w ryzyku strategicznym i analizujemy pod kątem operacyjnego. Przy założeniu, że analizujemy ryzyko nie tylko w pejoratywnym kontekście, ale również jako nasze szanse.

Dla nie do końca wierzących, jak strategiczne ma wpływ na operacyjne, a dokładniej, jak na PEST planujemy nasze codzienne (operacyjne – czyli takie wykonawcze) działania:

Często słyszymy słowa „co ten rząd wyprawia”. I później – co to człowiek będzie sobie robił dalej w związku z tym „wyprawianiem”. Ot przykład nie z obecnego, a trochę wcześniejszego. Słynny podatek Belki, od oszczędności. Już w trakcie prac nad projektem opodatkowania, wiele osób zastanawiało się, co zrobi, jak wejdzie podatek Belki. Jeszcze więcej zrobiło to, jak już przepisy weszły w życie.

A co to było w kontekście ryzyka strategicznego i operacyjnego? Na modelu PEST przestawiam poniżej:

  1. Pierwszy przypadek – analiza w kategorii czynników P – politycznych. Kierunki i preferencje rządu. Na podstawie tych preferencji i kierunków działania – planowaliśmy działania operacyjne z naszymi oszczędnościami. Czyli odpowiednie lokaty i miejsca, w których oszczędności będą wolne od podatku. I modelowo – ryzyko strategiczne, wprost wpływa na poziom naszego dochodu z lokat i oszczędności. Odpowiednio wcześniej rozpoznane – oszczędzamy prawie 1/5.
  2. Podobnie w drugim przypadku – tylko tu już czynnik P-prawo. Czyli w momencie jak przepis prawa jest już wprowadzony. Ale działanie znowu podobne – rozpatrujemy przepis prawa, jak będzie wpływał na nasze dochody.

Takich przykładów każdy z nas może mnożyć wiele. Analizy strategiczne, które potem powiązane są z ryzykiem mają właśnie za cel  zidentyfikowanie i porównanie ryzyka strategicznego, w odniesieniu do naszego działania codziennego (operacyjnego). Na zasadach przedstawionych w przykładzie powyżej.

Żeby być w duchu narzędziowni, dziś arkusz wstępny oceny ryzyka, z wykresem radarowym poziomów:

  • Stwierdzonego poziomu ryzyka
  • Zidentyfikowanego działania, w zależności od poziomu ryzyka.

Jak w większości narzędzi na jakich pracuję, istotne jest również w tym wyskalowanie zarówno poziomu ryzyka jak i poziomów reakcji na ryzyko. Ogólna zasada, poziom ryzyka 3 wymaga poziomu reakcji 3. Najtrudniejsze jest tylko opisanie – co to jest za ryzyko i czym skutkuje jak jest na poziomie 3, a co to znaczy reakcja na ryzyko na poziomie 3 i jakich działań wymaga. Ale to już może innym razem, a na pewno na szkoleniu.

Narzędzie

Narzędzie powstało nieco wcześniej niż opisywane w poprzednim artykule. Pierwsze wersje to 2005 rok, kiedy pisałem pierwszą w życiu strategię działania i rozwoju. Podmiotem dla którego to realizowałem, była jedna z formacji umundurowanych powoływana do zapewnienia porządku i spokoju publicznego. Do dziś wyniki strategii są widoczne, nie tylko w tej jednostce, ale niektóre nawet w kraju. Co jest podstawą mojego twierdzenia, że metody te są bardzo elastyczne, trzeba tylko rozumieć, jak je wykorzystać. Do każdego zakresu działania.

Obszar

Narzędzie to jest pewną mapą, która wskazuje zakres działania w ryzyku strategicznym oraz prezentuje jego poziom. Obejmuje 4 podstawowe grupy w analizie PEST (dla przypomnienia, The Orange Book zaleca PESTLE – gdzie L to prawo a E to środowisko – wyodrębnione czynniki odpowiednio z P – polityczne i prawne oraz T – technologiczne). Jak ktoś chce więcej – warto sobie zestawić poziomy z innych przeglądów (okresów wcześniejszych).

Wykonanie

Jako, że w tym przypadku nie ma poradnika, jak przy Indeksie Bezpieczeństwa, pozwolę sobie wyjaśnić postępowanie:

  • Krok 1 – ocena, czy ryzyko  jest w obszarze zainteresowania (na początku mocno subiektywna i zalecam raczej realizację w całości, bez metody mieszanej – tak aby był „raport otwarcia”).
  • Krok 2 –  dalsza ocena czynników (na specjalnych indywidualnych arkuszach oceny ryzyka). Tu można również stosować różne metody znane z szacowania i oceny ryzyka – np. szczegółowym przeszacowaniem zająć się od pewnego poziomu, czyli tam, gdzie ryzyko jest nieakceptowane (metoda mieszana z ISO/IEC TR 13335-3 i ISO/IEC 27005). To oczywiście przy kolejnych, jak już mamy wartości progowe – na otwarcie.
  • Krok 3 – zestawienie wyników szacowania indywidualnych czynników do poziomu stwierdzonego w przeglądzie i uzgodnienie wyniku.
  • Krok 4 – akceptacja ryzyka (lub nie) i dalsze działania. W tym etapie, jeśli organizacja posiada inne analizy z obszarów ryzyka – warto zestawić je ze sobą. Np. za pomocą dobrze znanego SWOT. I zrozumiale i prosto.

Pozostałe zasady szacowania i oceny oraz postępowania – zgodne z większością standardów. Pewnie w dalszym nastroju, niektóre się pojawią w formie wpisów na blogu, ale coraz bliżej jestem książki. Więc pewnie tam, bo materiał spory.

PS. Niniejsza analiza jest również analizą wyjściową do spełnienia wymagań (nurt compliance o którym też już pisałem). Otóż w wielu przypadkach eksperci zalecają pełną i 100% zgodność. Dobrze wykonana analiza PEST w obszarze przepisów i wymagań pozwoli odpowiedzieć, które z przepisów są istotniejsze (bardziej dolegliwe sankcje za niestosowanie) i wskazanie kierunku do strategii działania w obszarze bezpieczeństwa. Nie jestem przeciwnikiem przepisów prawa, niemniej nasze prawodawstwo jest… nie zawsze doskonałe. I uzyskanie pełnej zgodności z nim jest często albo niemożliwe, albo możliwe, tylko organizacja przestaje istnieć.

 Narzędzie do pobrania:

Analiza PEST (kliknij na link, żeby pobrać): Arkusz analizy PEST