Risk-Aware Culture
W kulturze tej zarządzanie ryzykiem jest częścią każdej krytycznej decyzji podejmowanej przez wszystkich interesariuszy. Jej istotnym znamieniem jest też to, że wplata ona zarządzanie ryzykiem w codzienną praktykę wszystkich pracowników.
Inaczej mówiąc, świadomość ryzyka (risk awareness) można również zdefiniować jako zdolność organizacji do zrozumienia i rozpoznawania ryzyka, zanim zacznie się ono materializować, ograniczania go, gdy się pojawi, oraz naprawiania szkód, które może spowodować jego materializacja.
Jak to osiągnąć? Zacznij od góry
Przede wszystkim warto zauważyć, że budowanie kultury uwrażliwionej na ryzyko musi rozpocząć się od najwyższych szczebli w organizacji. To tu musi dokonać się zmiana paradygmatu myślenia o zagrożeniach i sposobach kultywowania świadomości ryzyka poprzez postawy przywódcze.
Proces rozpoczyna się od zaangażowania kierownictwa w system zarządzania ryzykiem poprzez wspólne ustanowienie podstawowych wartości oraz polityk i procedur dla organizacji związanych z wykrywaniem, oceną i zarządzaniem ryzykiem.
Budowanie kultury uwrażliwionej na ryzyko musi rozpocząć się od najwyższych szczebli w organizacji
Odpowiedzialność za ten obszar jest następnie kaskadowana aż do podstawowych szczebli organizacji przy silnym wsparciu zarządu i kadry menedżerskiej.
Edukacja i komunikacja
Zważywszy, że pozyskanie zrozumienia i akceptacji większości, jeśli nie wszystkich, członków organizacji, jest najtrudniejszym aspektem budowania skutecznej kultury świadomości ryzyka, towarzyszyć temu musi intensywna komunikacja i działania edukacyjne ukierunkowane na budowanie kultury świadomości ryzyka, wśród członków organizacji.
Celem tych działań musi być zaznajomienie pracowników z podstawową wiedzą i językiem zarządzania ryzykiem. Warto też przedstawiać korzyści płynące z zarządzania ryzykiem nie tylko dla organizacji, ale także dla poszczególnych pracowników.
Oczywiście, istotnym elementem procesu jest opublikowanie dokumentacji zasad i procedur, ale także szkolenia i spotkania wyjaśniające, dotyczące przedstawienia szczegółów tych zasad i procedur, jak również stałe edukowanie o znaczeniu świadomości ryzyka w organizacji.
Czytaj także: Odpowiedzialność za produkty i usługi o charakterze cyfrowym, rekomendacje Komisji Europejskiej
Przejrzyste procedury
Jedną z kluczowych procedur w zarządzaniu ryzykiem jest ta dotycząca zgłaszania potencjalnych zagrożeń. Jak wskazują doświadczenia, w tym płynące z najbardziej chyba doświadczonej w tym zakresie branży, jaką jest lotnictwo ‒ system zgłaszania zagrożeń musi uwzględniać również opcję anonimowości dla osób, które nie chcą być identyfikowane przez współpracowników jako te, które zgłaszają ryzyko.
Chodzi bowiem o to, by uchronić zgłaszających przed strachem o ewentualną stygmatyzację, czy pojawiającymi się niekiedy zarzutami o „nielojalność”. Należy bowiem pamiętać, że pierwszorzędnym celem tych działań jest ograniczanie ryzyka i zapobieganie mu, a nie szukanie winnych.
System zgłaszania zagrożeń musi uwzględniać również opcję anonimowości
Warto przy tym podkreślić, że procedury zgłaszania ryzyka muszą być proste i łatwe w obsłudze. Tu z pomocą przychodzi technologia. Dzięki niej dostęp do formularzy i ich przekazywanie może odbywać się także przy wykorzystaniu urządzeń mobilnych.
Otwarcie i odpowiedzialność
Kultura uwrażliwiona na ryzyko obejmuje również aspekt otwartej dyskusji o ryzykach i ich mitygacji. Jest to poważne wyzwanie, zarówno dla menedżerów, jak i innych członków organizacji. Obok odwagi i otwartości wymaga bowiem całościowego spojrzenia na firmę, pokonania myślenia silosowego.
Dlatego ogromne znaczenie ma w tym przypadku otwarcie kanałów komunikacyjnych pomiędzy działami firmy. Kluczowym sposobem osiągnięcia tego celu jest utworzenie komitetu ds. ryzyka, w skład którego wchodzą interesariusze z wielu działów.
Komitet ds. ryzyka powinien (…) wskazać osoby, które są właścicielami poszczególnych ryzyk, i rozliczać je z zarządzania nimi
I tu także z pomocą przyjść może technologia poprzez centralizację informacji o ryzyku, standaryzację danych i pokazywanie zależności między zagrożeniami. Dzięki temu wszystkie strony mogą mówić jednym językiem, co zdecydowanie ma pozytywny wpływ na skuteczność komunikacji.
Kolejną kwestią jest jasne przypisanie ról. Komitet ds. ryzyka powinien również wskazać osoby, które są właścicielami poszczególnych ryzyk, i rozliczać je z zarządzania nimi. Jeśli właściciele wiedzą, kto jest odpowiedzialny za ryzyko, istnieje znacznie mniejsze prawdopodobieństwo, że coś ważnego zostanie pominięte, ponieważ wszyscy uważają, że zajęcie się tym musi należeć do kogoś innego.
Nierozerwalnie związane z tą kwestią jest również motywowanie pracowników, a zwłaszcza menedżerów, poprzez włączanie kwestii związanych z ograniczaniem ryzyka do ich celów okresowych. Stosowanie nagród lub premii za osiągnięcia związane z zarządzaniem ryzykiem jest znaczącym motywatorem do utrzymywania wysokiego stopnia mobilizacji w tym zakresie.
Czytaj także: Badanie SAS: zarządzanie ryzykiem głównym wyzwaniem branży finansowej po pandemii
Gromadzenie wiedzy
Ostatnim wreszcie aspektem kultury uwrażliwionej na ryzyko jest zapisana w niej zdolność organizacji do uczenia się i wykorzystywania zdobytych doświadczeń. Służą temu m.in. rejestry ryzyka, które sporządza się już na etapie inicjowania projektu, a potem stale uzupełnia.
Ujednolicony system rejestrów ryzyka pozwala zawierać w nim zarówno ryzyka przewidywane, jak i już zaistniałe w poprzednich, podobnych projektach. Zawiera on zatem zapisy na temat ryzyk, w tym ich status, historię i podjęte środki zaradcze.
Główne informacje zawarte w Rejestrze ryzyk to:
– identyfikator ryzyka – jednoznacznie określa zidentyfikowane ryzyko,
– autor zgłoszenia – osoba, która zgłosiła ryzyko,
– data zarejestrowania – data wpisu do Rejestru ryzyk,
– kategoria ryzyka: prawne, techniczne, finansowe, organizacyjne, jakościowe, etc.
– opis ryzyka,
– wpływ ryzyka,
– prawdopodobieństwo wystąpienia,
– bliskość ryzyka – oszacowany czas, który dzieli projekt od wystąpienia zagrożenia albo szansy,
– proponowane reakcje na ryzyko – planowane działania, które powinniśmy podjąć, by zmniejszyć zagrożenia lub zwiększyć szanse,
– podjęte działania – działania, które zmniejszą zagrożenia lub zwiększą szanse,
– właściciel ryzyka – osoba wyznaczona do obserwacji ryzyka,
– aktualny status ryzyka.
Matryca PxS
Istotnym narzędziem w zarządzaniu ryzykiem, które znajduje odzwierciedlenie w rejestrze jest tzw. kwantyfikacja ryzyka. Najkrócej mówiąc jest to proces oceniania ryzyka pod kątem zagrożenia, jakie ono stwarza dla realizacji celów projektu czy firmy. Ryzyko w miarę możliwości w tym etapie sprowadza się do wartości mierzalnych, tzw. prawdopodobieństwa wystąpienia i wysokości możliwej straty/wpływu.
Istnieje wiele metod podejścia do kwantyfikacji ryzyk; jedną z chętniej stosowanych jest matryca ryzyka, czyli graficzne przedstawienie oceny poziomu ryzyka za pomocą dwuwymiarowej macierzy, w której jedną zmienną jest prawdopodobieństwo (P ‒ od angielskiego słowa probability) wystąpienia zagrożenia, a drugą skala skutków tego zagrożenia (S ‒ severity lub I ‒ impact), zwana niekiedy matrycą PxS. Dodatkowym atutem ułatwiającym interpretację danych jest stosowana w tej metodzie kolorystyka świateł ulicznych.
Ujednolicony system rejestrów ryzyka (…) zawiera (…) zapisy na temat ryzyk, w tym ich status, historię i podjęte środki zaradcze
Wdrożenie w organizacji opisanych powyżej elementów kultury uwrażliwionej na ryzyko sprawia, że na każdym etapie działania i w każdym pracowniku danej organizacji uruchomiona zostaje świadomość istniejących ryzyk oraz własnej roli w dążeniu do ich ograniczania oraz właściwego nimi zarządzania. Oczywiście, każdy z interesariuszy może w tym zakresie wykonywać działania odpowiednie do zakresu jego roli i kompetencji.
Szczególna rola CFO
Wydaje się, że szczególną rolę, zarówno we wprowadzaniu kultury uwrażliwionej na ryzyko, jak i w zarządzaniu poszczególnymi ryzykami ma do odegrania CFO. Znajdując się w ścisłym gronie zarządzającym może budować świadomość wagi uwrażliwienia na ryzyko wśród grona sterującego, ma również do dyspozycji szereg argumentów wykraczających ponad granice poszczególnych pionów czy działów. Trzeba bowiem pamiętać, że funkcja ta zakłada najszersze spojrzenie na działalność firmy i wgląd we wszystkie obszary jej działania.
CFO uczestniczy też aktywnie w kształtowaniu i realizacji zarówno strategii biznesowej, jak i zawartych w niej projektów. Co więcej, nie będąc związanym cząstkowymi wskaźnikami efektywności, CFO może obiektywnie identyfikować i oceniać pojawiające się ryzyka z punktu widzenia interesów całej organizacji, a następnie inspirować i podejmować kroki zaradcze oraz monitorować przebieg całego procesu.
Wielokrotnie zatem może przyczyniać się do wychwycenia i mitygowania ryzyk, które mogą pozostać niezauważone, lub zlekceważone przez innych interesariuszy skoncentrowanych na realizacji doraźnych celów.