Ryzyko jest wszędzie…

0
38

Przygotowując pewne zamówione opracowanie zahaczające zarówno o zarządzanie ryzykiem, jak i kwestie związane z ciągłością działania, natknąłem się na ciekawy artykuł jednego ze specjalistów zarządzania ryzkiem, omawiający problemy i obawy związane z tworzeniem nowego standardu zarządzania ryzykiem. I to standardu nie byle jakiego, a wydanego jako norma ISO. Mowa oczywiście o ISO 31000.

Po przeczytaniu artykułu, po raz kolejny mam nieodparte wrażenie o którym piszę od wielu już lat. I ono ciągle się potęguje.

Otóż, specjaliści od bezpieczeństwa – jakiegokolwiek (operacyjne, pożarowe, fizyczne, finansowe, strategiczne etc) nie do końca dostrzegają … biznes dla którego pracują. W artykule jest mowa zarówno o powiązaniu z systemem motywacji, jak i wpisaniu ryzyka w działanie organizacji – stwierdzenie że zarządzanie ryzykiem jest częścią organizacji.

Cóż, ja ze swojej strony mogę się tylko cieszyć, że udaje nam się jako Instytutowi wiązać zarządzanie z bezpieczeństwem, ale jest to niebywale trudne. Nie tylko z powodu nieuzasadnionej moim zdaniem próby alienacji działów bezpieczeństwa, jakie to podejmują sami „bezpiecznicy”, ale też niezrozumienia ze strony biznesu, że to jednak nie tak, że ktoś z boku, „dopięty” będzie łatał dziury i gasił pożary .

Ryzykiem, bo o nim mowa, zajmuje się praktycznie każdy system zarządzania.

  • Badania i rozwój – i nowy produkt. Cóż.. tu jest sporo niewiadomych.. czyli – ryzyk. Może się nie spodobać, może nie mieć cech oczekiwanych przez klientów, może być zbyt łatwe do skopiowania. To są RYZYKA – konkurencji (substytutów lub bezpośredniej – 5 sił Portera, jako pomoc), ryzyka związane z błędnie dobraną grupą docelową lub badaniem. Oczywiście, może się okazać, że będzie dużo lepiej odebrany i ogólnie lepiej się „uda” (druga strona ryzyka – ta jasna). Przykład kartek „sklerozek”, czy post-it. Wynik niezamierzony, ale jakże udany.
  • Marketingowcy i handlowcy, przygotowując plany sprzedaży, reklamy etc, zastanawiają się, a co będzie gdy… Gdy ich pomysł nie chwyci, gdy zainteresowanie będzie za małe… przecież to są scenariusze, które odpowiadają na szacowanie ryzyka. Oczywiście tutaj też może zaistnieć jasna strona mocy.

Odejdźmy nieco od samej części „produkcyjnej”, czas na systemową. Czym jest ISO 9001?

Tak, oczywiście systemem zarządzania jakością. A ja uważam, że jest potężnym systemem zarządzania RYZYKIEM. Ryzykiem produktu niezgodnego z wymaganiami.

Przecież cały system skierowany jest na to, żeby klient nie otrzymał wyrobu NIEZGODNEGO (tak, ja tez obawiam się nurtu compliance – czyli „zgodnościowego”). Ale … przecież to też jest ryzyko. Ryzyko systemu papierowego, który … jest niezgodny. Niezgodny z ideą i celem wdrożenia SZJ zgodnego z ISO 9001.

Ale nie o tym dziś, to duże rozważania. Wróćmy do ryzyka. Np zarządzanie produktem niezgodnym, z punktu widzenia zarządzania ryzykiem, to wejście w obszar ryzyk reputacyjnych. Działania korygujące, to wdrażane zabezpieczenia, czyli działanie z obszaru redukcji. Podobnie działania zapobiegawcze u których podstawy jest… analiza ryzyka ex ante, czyli PRZED wydarzeniem.

Dlatego nie pomijamy tego w codziennej pracy managera. Ryzyko jest wszędzie – tylko nasze wewnętrzne systemy są tak dopracowane, że ich nie zauważamy. Może czas na takie systemy w naszych firmach?

Felieton został opublikowany równolegle na stronie Instytutu Bezpieczeństwa i Informacji