ISO 31000 w praktyce

Parę mięsięcy temu przedstawiłem swoją własną opinię na gorąco, dotyczącą nowego standardu zarządzania ryzykiem. Podczas ostatniego Forum FERMA w Pradze miałem możliwość znów spotkać Kevina Knighta (ojca chrzestnego ISO 31000) i porozmawiać z nim, a także posłuchać opinii innych guru ERM na temat nowego standardu.

Ci ostatni już w zasadzie przesądzili, że skomplikowany i nieprzyjazny amerykański COSO II oraz nadmiernie uproszczony standard brytyjski promowany przez FERMA chowają się, jeśli chodzi o jakość i nowoczesność koncepcji i modelu ERM, jakie przedstawiają. Z kolei Australijczycy dobrowolnie wycofują z użycia swój doskonały AS/NZS:4360 aby go zastąpić międzynarodowym, lepszym dokumentem ISO. Teraz mówi się nie „czy”, ale „jak” zastąpić dotychczasowe modele w firmach tym proponowanym w ISO 31000.

W środowisku widać troskę o to, aby właściwie zrozumiano sens nowego standardu:

mimo, że jest normą ISO, jest jedynie przewodnikiem (a nie obowiązkowym zbiorem przepisów czy wymagań)
powinien być stosowany dobrowolnie i może być przez firmy modyfikowany
nie podlega ceryfikacji !

Druga troska, czy obawa dotyczy możliwości popełnienia błędu jaki towarzyszył wprowadzeniu SOX (Sorbannes-Oxley Act) czy COSO II: mnóstwo pracy, kosztów i papierkowej roboty, a bardzo ograniczone korzyści.

We wrześniowym StrategicRisk praktycy radzą:

wykorzystaj możliwości, jakie daje ISO31000 do zaprowadzenia prostego systemu ERM; nie ma obowiązku budowania własnego modelu ERM będącego pełnym odzwierciedleniem wszystkich elementów zawartych w ISO, jak najbardziej dopuszcza (wręcz sugeruje) się jego dalsze uproszczenie
nie traktuj ERM jako systemu zarządzania równoległego do istniejących systemów zarządczych; musi on bowiem zostać wpleciony w istniejące systemy, procedury, procesy i ścieżki raportowania
wprowadzając model proponowany w tym standardzie, nie przekreślaj istniejących praktyk, mechanizmów, narzędzi, lecz staraj się je wykorzystać, uporządkować i zintegrować ze sobą
postaraj się wykorzystać wprowadzany model ERM do podniesienia zdolności firmy do uzyskania wyższego ratingu (chodzi o sygnalizowaną już praktykę Standard & Poors polegającą na ujmowaniu oceny skuteczności ERM w ogólnym ratingu nadawanym firmie)
duży nacisk na komunikację z interesariuszami na każdym etapie projektowania i funkcjonowania modelu ERM może dla niektórych firm być tzw. „overkill„; należy do tej zasady stosować się z wyczuciem charakteru danej firmy
uważaj na sprzedawców wielkich, skomplikowanych systemów IT („kombajnów”) wciskających Ci kit, że są niezbędne do zaimplementowania ISO31000; nic bardziej mylnego: na początek starczy arkusz kalkulacyjny a na dalszym etapie prosty i niedrogi system zarządzania informacją z dostępem przez Firefoxa (np taki jak ten, o którym pisałem).

Jesteśmy w okresie, w którym sporo polskich firm zaczyna na poważnie przymierzać się do ERM i podejmują one pierwsze wybory, m.in. na jakiej dobrej praktyce oprzeć własny system ERM. ISO najlepiej nadaje się dla początkujących, gdyż nie tylko pokazuje jak powinien wyglądać ukończony, funkcjonujący system ERM, ale pokazuje jaką drogą osiągnąć taki stan i jakie warunki należy spełnić, aby projekt wdrożenia ERM się powiódł.

Zgłoś się po nagrodę StrategicRisk Awards 2010 – ostatni dzwonek !

Mój zeszłoroczny apel niestety pozostał bez echa – żaden menedżer ryzyka z Polski nie startował. A szkoda, bo ewentualne zwycięstwo lub pojawienie się na „short liście” to nie tylko bardzo silna promocja pozycji risk managera w jego firmie, ale popularyzacja ERM w Polsce.

W dzisiejszych pokryzysowych czasach, kiedy firmy tną koszty – w tym budżety przeznaczone na rozwój zarządzania ryzykiem – otrzymanie nagrody lub chociażby wyróżnienia za swoją pracę i jej efekt mogą być przełomowe i zmienić sposób myślenia zarządu o zarządzaniu ryzykiem i osobach tym się w firmie zajmujących. Może zwyczajnie zdecydować o tym, że Ty – menedżerze ryzyka – nadal będziesz miał swoją pracę lub otrzymasz poszerzony zakres obowiązków, kompetencji oraz benefitów.

Muszę jeszcze raz przytoczyć to, co napisałem rok wcześniej: Konkurs StrategicRisk nie jest przeznaczony wyłącznie dla starych wyjadaczy, firm, które zjadły zęby na zarządaniu ryzykiem i tylko dla „Starej Europy”. Jest on podzielony na wiele kategorii (np. risk manager roku, program zarządzania ryzykiem roku, oprogram ubezpieczeniowy roku, team zarządzania ryzykiem roku, program prewencji roku, początkujący risk manager roku, program komunikowania ryzyka roku …) po to aby praktycznie każde przedsiębiorstwo, będące na dowolnym etapie swojej przygody z ERM mogło z powodzeniem startować. Mile widziane są przedsiębiorstwa z „Młodej Europy” – komisja sędziowska już trochę znudziła się firmami z Anglii, Francji, Belgii czy Niemiec. Praktycznie każda firma startująca ze Środkowej i Wschodniej Europy może liczyć na przychylne oko i szczególne zainteresowanie – dostaje premiowe punkty „za pochodzenie”.

Złożenie aplikacji nic nie kosztuje a jej przygotowanie nie jest pracochłonne. Jestem przekonany, że są w Polsce firmy i osoby, które z powodzeniem mogą startować i liczyć na laury. Podtrzymuję moją propozycję sprzed roku: podzielę się moimi doświadczeniami zarówno laureata jak i sędziego StrategicRisk Awards. Pomogę, wręcz poprowadzę za rękę, przy pisaniu aplikacji.

Jeśli zaczynasz się oglądać na innych i zastanawiać się czy mówię do Ciebie: tak, mówię do Ciebie – Piotrze, Krzysztofie, Panie Piotrze, Tomku, Moniko, Pani Doroto, Marto, Aniu – menedżerze ryzyka z P4 (Play), Polpharma, PKN Orlen, Telekomunikacja, Raben, Kampania Piwowarska (Lech), Lotos, Orbis …

Wchodzisz w to ? Kliknij ten link: http://www.strategicrisk.co.uk/digital/srawards2010/Enter.asp

Zarządzanie ryzykiem pomaga optymalizować koszty

Kilkadziesiąt wpisów wcześniej pisałem o korzyściach z wprowadzenia ERM. W badaniach poświęconych ERM często przewija się wątek kosztów zarządzania ryzykiem – zarówno w kontekście kosztu ryzyka jak i ogólnie jako element bilansu zysków i strat z wprowadzenia ERM w firmie.

Jedynie sporadycznie wspomina się jednak o zasadzie proporcjonalności nakładów i kosztów ponoszonych na kontrolowanie określonego ryzyka do wielkości samego ryzyka. Zasada jest prosta: posługując się mapą ryzyka, lub inną metodą, firma wyłoniła pulę ryzyk krytycznych. W kolejnym kroku podejmuje decyzję, jaką strategię postępowania z ryzykiem należy przyjąć, a następnie przekłada strategie na określone projekty, inwestycje, czynności, zmiany czy procedury. Decydując się na wybór tych działań czy procedur, firma kieruje się zasadą, iż nakłady na zmniejszenie ryzyka powinny być w rozsądnej proporcji do samego ryzyka (tj wielokrotnie mniejsze), a ze wszystkich możliwych planów działania należy wybrać te, które rokują najlepsze przelożenie kosztów do korzyści.

Wydawałoby się, że to truizm i banał.

Spróbujmy jednak zastosować to rozumowanie trochę bardziej odważnie: już w momencie dokonywania wstępnej identyfikacji i tzw ewaluacji ryzyk, zastajemy pewien zestaw stosowanych w firmie środków kontroli ryzyka. Nawet jeśli stosujemy się do wskazówek AS/NZS 4360 (lub nowego ISO 31000) i oceniając wielkość ryzyk bierzemy pod uwagę istniejące środki kontroli (ich jakość i skuteczność), to jedynie prześlizgujemy się po nich zaledwie rejestrując ich obecność.

Należałoby jednak zajrzeć głębiej w istniejące środki kontroli, nie zadawalając się tym, że poprostu istnieją od lat i nikt ich nie kwestionuje. Należałoby je potraktować na równi ze wszystkimi nowymi i projektowanymi środkami zaradczymi, krytycznie oceniajac przełożenie kosztów jakie na nie ponosimy, na ich skuteczność i stopień w jakim zmniejszają ryzyko.

Być może wynikiem przeglądu istniejących środków kontroli będzie likwidacja niektórych z nich, lub drastyczne zmniejszenie wydatków na nie ? Jeśli istniejący środek kontroli dotyczy ryzyka, które w wyniku przeglądu ryzyk okazało się nie być krytyczne, to naturalnie ten środek kontroli powinien zostać zlikwidowany a nakłady finansowe przesunięte na obsługę nowych, bardziej naglących ryzyk.

Przykład: firma utrzymuje kosztowny system gaszenia CO2 w serwerowni. Alternatywą jest zaniechanie tego systemu i założenie, że pożar jest na tyle mało prawdopodobny, iż będzie w efekcie firmę mniej kosztować nawet jeśli całkowicie zniszczy serwerownię. Czy jest sens podtrzymywać dotychczasowy środek kontroli ryzyka – gaszenie gazowe ?

Przy takim ćwiczeniu myślowym dobrze posłuzy nam prosta metoda, porównująca:
– parametry ryzyka (prawdopodobieństwo i skutek) „bez środków kontroli”
– z parametrami ryzyka skontrolowanego (tj jego wielkość po zastosowaniu określonych środków kontroli)
– oraz z kosztami zastosowania środków kontroli.

Sens tego ćwiczenia polega na przeprowadzeniu prostego testu: czy warto wydać 600 tys PLN w ciągu pięciu lat na zainstalowanie i utrzymanie systemu gaszenia CO2 w serwerowni wartej 6 mln PLN ? Odpowiedź brzmi: po jego zainstalowaniu, ewentualne rozprzestrzenienie się pożaru na całą serwerownię jest 4-krotnie mniej prawdopodobne a koszt odbudowy serwerowni po pożarze niższy o ponad 5 mln PLN, zatem – tak, zdecydowanie warto. Nakłady na budowę tego systemu gaszenia stanowią zaledwie 12% tego co możemy zyskać, więc to dobra inwestycja.

Tryskacze występujące tutaj dla porównania pełnią rolę statysty, gdyż ich instalacja w serwerowni nie jest najlepszym pomysłem (chyba, żeby były to tryskacze proszkowe, jeśli takie będą kiedyś skonstruowane …)

Uwaga: liczby występujące w przykładzie są przypadkowe, nie powinny być wykorzystywane przy prawdziwych analizach czy też podejmowaniu decyzji o wyborze systemu gaszenia.