Miesiąc: Marzec 2011

Lekcja Fukushimy

Jeszcze nie tak dawno temu dowodziłem, że bankowcy mogliby uczyć się zarządzania ryzykiem od ryb, gdy przychodzi nam połknąć kolejną gorzką lekcję.

Trzeba było skrajnego zjawiska, aby wystawić na ciężką próbę technologię, o której zwykło się mówić, że jest najlepsza. Ale okazuje się, że nawet inżynierowie tego technologicznie zorientowanego kraju popełniają błędy. Nam pozostaje się znów na nich uczyć.

Południowoafrykański miesięcznik Enterprise Risk pisze, czego nas – po krótkiej, wstępnej refleksji – nauczyła Fukushima.

Oprócz oceniania jakości samych środków kontroli należy ocenić zasoby, od których zależą. Niekiedy wydaje się, że tych środków zaradczych jest sporo i są zbudowane wielowarstwowo, ale jeśli zależą od jednego, wspólnego zasobu – sa mało warte. Tak stało się w Fukushimie, gdzie kilka awaryjnych systemów chłodzenia (teoretycznie niezależnych) zależało od jednego agregatu prądotwórczego – stanowiły zatem tylko jeden środek zaradczy.

Analizowanie ryzyk w kontekście business unitów, funkcji czy pojedynczych zasobów prowadzi do wycinkowego (silosowego) zarządzania ryzykami. Dopiero spojrzenie procesowe, pokazujące zależności krytycznych procesów od zdawałoby się nieistotnych zasobów czy podprocesów, pokazuje pełne spektrum zagrożeń. W elektrowni w Fukushimie zwrócono szczególna uwagę na zapobieżenie ryzyku stopienia się rdzenia reaktora, a nieproporcjonalnie mniejszą uwagę poświęcono ryzykom związanym ze zużytym paliwem, co teraz obraca się przeciwko Japończykom.

Na prowadzonych przez siebie warsztatach podkreślam ogromną rolę uzasadniania i rejestrowania sposobu oszacowania ryzyka oraz przyjmowanych założeń. Jest to podstawa do późniejszych rewizji i przeglądów wcześniejszej oceny ryzyka, która może okazać się nieaktualna między innymi z powodu starzejących się założeń i zmieniających sięokoliczności, w jakich może zaistnieć ryzyko. Jeśli nasza ocena ryzyka nie bedzie reagować na zmiany tzw kontekstu, będzie zwyczajnie niewiarygodna. Prawdopodobnie Japończycy nie dość często uaktualniali swoje założenia i modele budowlane elektrowni o najnowsze wyniki badań geologicznych (tektonicznych).

I ostatnie zagadnienie, które zaczynamy udczuwać w Europie – łańcuch dostaw. Błędem jest kończenie analizy ryzyka na murach swojego zamku. Potrzebne jest spojrzenie na cały łańcuch dostawców oraz firm którym outsourcujemy istotne dla firmy funkcje. Jak raportuje Commercial Risk Europe, pierwszy dreszcz przechodzi właśnie przez Europejski łańcuch dostaw. Może jednak być gorzej, bo wkrótce wyczerpią sie wszystkie bufory magazynowe rozciągnięte pomiędzy Japonią a Europą. A japońskie fabryki – nawet te niezniszczone – mają problem z energią elektryczną, dostawami surowców do produkcji, paliwami i logistyką. Przypomina się klasyczny już case Nokia vs Ericsson

Wasz w ryzyku

R.

 

Dlaczego nie wszystkim w Polsce udaje się z ERM – diagnoza choroby

Żeby nie poprzestać tylko na narzekaniu na efekt działań Wielkiej Czwórki konsultingu, postanowiłem zdiagnozować przyczyny niekorzystnego stanu rzeczy, jaki może zaistnieć po nieudanym wdrożeniu systemu zarzadzania ryzykiem korporacyjnym, opisanego w jednym z poprzednich wpisów.

Wielki konsulting, uporczywie trzyma się starego już COSO opartego na sztywnych mechanizmach kontroli. Ignoruje się jeden z zapisów, jaki pojawił się w nowej normie ISO 31000, uwzględniającej wnioski z błędów popełnionych przez ostatnie dziesięć lat. Otóż warunkiem powodzenia we wdrażaniu ERM jest zrozumienie i uszanowanie wewnętrznego kontekstu firmy:

  • istniejącej struktury organizacyjnej, ról i zakresów władzy na poszczególnych szczeblach
  • istniejących procesów i procedur postępowania managementu
  • rozłożenie ośrodków wiedzy i zasobów (tj ludzi, kapitału, czasu, technologii)
  • niepisanych relacji, percepcji i wartości dla interesariuszy
  • kultury organizacyjnej oraz zasad podejmowania decyzji i delegowania.

Zapomina się, iż system ERM (i jakikolwiek system zarządzania) istnieje dla klienta. W tym wypadku jest nim klient wewnętrzny: zarząd i management. Wartość dodaną przez system ERM należy postrzegać wyłącznie z perspektywy klienta wewnętrznego, a wartością dla managementu jest:

  • rozwiązanie problemu,
  • zakomunikowanie rozwiązania, oraz
  • dokonanie „fizycznej zmiany” (implementacja rozwiązania).

Po dokonaniu sekcji pacjenta, widzimy:

Błędy na etapie tworzenia systemu

1. proces i procedury mają zbyt wiele etapów i kroków

  • spisane procedury mają zbyt wiele poziomów, są zbyt szczegółowe i złożone
  • polityka, procedury, księgi, podręczniki są zbyt obszerne i nieprzystępne

2. proces (jego twórcy) z góry zakłada brak pracy zespołowej lub ogranicza jej zakres

  • zakłada naukę zarządzania ryzykiem z dokumentów, procedur
  • brak (lub za mało) „żywych” szkoleń i warsztatów

3. proces z założenia nie jest integrowany z istniejącymi procesami biznesowymi lub zarządczymi

4. proces jest nieprzemyślany, sztywny, oparty na zbędnych działaniach

  • „łańcuszki” akceptowania i decydowania
  • sztywne, regularne spotkania (nawet, jak nic nie wnoszą)
  • sztywne, planowe fazy i etapy (przez które trzeba przejść, bo są)
  • gromadzenie i kumulowanie zbędnych / nadmiarowych informacji

5. proces nie dość jasno i jednoznacznie określa role

  • pojawia się zbyt wiele funkcji i ról
  • niejasne zasady dotyczące decydowania, odpowiedzialności, „eskalowania” i komunikowania ryzyk

6. brak sensownej koncepcji wykorzystania danych

  • brak przepływu, porządkowania i interpretacji danych (historycznie zrealizowane ryzyka, incydenty, analizy trendu, rozwiązania)

Błędy na etapie identyfikacji ryzyk

1. brak pracy zespołowej

2. warsztaty, jeśli są, to nieefektywne

  • brak fachowego przewodnictwa / moderowania
  • szukanie w „nierelewantnych” obszarach (brak relacji do kontekstu wewn/zewn)
  • bez podsumowania / konkluzji oraz bez kontynuacji w działaniach

3. nieprawidłowa / niepełna analiza ryzyk

  • brak analizy root-cause,
  • w konsekwencji brak prawidłowej definicji ryzyka P->R->S
  • zbyt wiele skomplikowanych analiz (w proporcji do wielkości ryzyka)

Błędy na etapie analizy i szacowania ryzyk

1. nadużycie analityki

  • obciążanie uczestników procesu skomplikowaną analizą matematyczną, podczas gdy wystarczyłaby (prosta) analiza jakościowa

2. skale i miary źle skonstruowane

  • zbyt wiele kryteriów
  • zbyt szczegółowe kryteria
  • zbyt wiele poziomów na skali

3. niewykorzystanie wiedzy istniejącej w firmie

  • niedopasowanie analizowanych ryzyk do kompetencji zespołów (błędne szacowanie za pierwszym podejściem, konieczność powtórek)
  • analizowanie ryzyk jednoosobowo (np. przez przyszłych właścicieli ryzyk) z „oszczędności czasu”

4. brak ujednoliconych (wspólnych) zasad, metod i założeń do szacowania ryzyk w różnych pionach / departamentach

5. nie grupuje (agreguje) się ryzyk

  • ryzyka działające łącznie są niedoceniane na mapie ryzyk
  • ryzyka podobne nie są mitygowane łącznie (gorsze ROI działań zaradczych)

Błędy na etapie reagowania na ryzyko

1. zbyt nisko postawiony próg „akceptuj”

  • zbyt wiele nieistotnych ryzyk obciąża management

2. właścicielstwo ryzyk postawione zbyt wysoko

  • decydowanie / zarządzanie ryzykami nie następuje na najniższym możliwym poziomie (na którym są kompetencje, władza menedżerska i budżet / zasoby)
  • zbyt wiele czasu traci się na czekanie na weryfikację, akceptację czy opiniowanie przez pośredników pomiędzy de facto właścicielem a zarządem

3. brak selekcji środków zaradczych poprzez analizę kosztów / korzyści

  • brak takiej refleksji również w stosunku do istniejących środków kontroli

4. plany zaradcze nie są sprzężone z planami wykonawczymi w firmie

  • brak połączenia z istniejącymi / planowanymi projektami
  • nieuwzględnianie w budżetach projektu / departamentu / procesu

5. plany zaradcze nie są wykonywane i egzekwowane

  • nie mierzy się i nie kontroluje postępów we wdrożeniu planów ograniczania ryzyka
  • nie bada się skuteczności i efektywności ekonomicznej środków kontroli
  • motywowanie do ich poprawy staje się przez to niemożliwe
  • nie są elastycznie zmieniane w reakcji na zmianę otoczenia lub okoliczności

Błędy na etapie monitorowania i „zamykania” ryzyk

1. tworzenie „śmieciowych raportów”

  • powstają przepastne raporty pokazujące wszystkie informacje – głównie zbędne – we wszystkich możliwych wariantach
  • zapoznanie się z nimi zajmuje sporo czasu oraz powstaje sporo wątpliwości co do interpretacji i wniosków
  • ruch informacji i decyzji jest w ten sposób hamowany lub wręcz zatrzymywany

2. brak uporządkowanych informacji

  • informacje rozsypane po departamentach, komórkach
  • niespójny układ informacji, uniemożliwiający ich wspólne analizowanie
  • informacje przestarzałe i / lub niekompletne

3. niezdolność do akceptacji i decydowania o „zamykaniu” ryzyk

  • kiepsko zdefiniowane poziomy uprawnień do „zamykania” (akceptowania) ryzyk
  • niezdefiniowane kryteria uznawania środków zaradczych za wystarczające a ryzyko za opanowane (apetyt na ryzyko)
  • niedowiązanie do tej decyzji wniosków z analizy incydentów

 

Ta lista niepokojących objawów jest rzeczywiście bardzo długa, nic dziwnego, że niektórzy pacjenci na tę chorobę umierają. Ale nie byłby lekarzem ten, kto ograniczyłby się do wywróżenia rychłej śmieci pacjentowi, bez podjęcia próby leczenia.

Zasadniczo mam juz komplet lekarstw, niebawem wchodzą w fazę testów klinicznych, zatem czekajcie na świeżą krew i zaglądajcie tutaj …

To trzeba robić inaczej

W ciągu ostatnich miesięcy jestem obdarzany przez wiele dużych firm i risk managerów w nich działających ogromnym zaufaniem, za co jestem bardzo wdzięczny. Dzielą się ze mną swoimi – niestety smutnymi – refleksjami, na temat tego co zostało w Firmie po zaprojektowaniu i wdrożeniu systemu ERM przez którąś z szacownych firm konsultingowych, jakie zarząd zaprosił do przeprowadzenia „projektu ERM”. Dzięki temu zaufaniu jestem proszony o naprawianie wdrożeń, które nie ruszyły z miejsca lub takich, które ruszyły ale ugrzęzły po pierwszym przeglądzie ryzyk. Dzięki temu mam dość unikalną możliwość przyjrzenia się, co poszło niezgodnie z zamierzeniem, co było utopijnym założeniem i gdzie popełniono błędy.

Właśnie – czy to były błędy firmy konsultingowej ? Niekoniecznie. Błąd bardzo często jest popełniany już znacznie wcześniej, w momencie kiedy zarząd wpada w fałszywy tok myślenia: „zaprosimy konsultantów, zapłacimy im i oni nam zrobią w firmie ERM”. Nie znam firmy konsultingowej, która znajdzie dość siły aby postawić klientowi warunek: „jeśli zarząd nie zagwarantuje 30 godzin miesięcznie swojego osobistego udziału w projekcie – nie wchodzimy”.

Co dla mnie również bardzo wartościowe, inne przedsiębiorstwa proszą mnie o pełnienie roli „satelitarnego doradcy”, który niczym pszczoła krąży wkoło projektu wdrożeniowego prowadzonego przez duży konsulting i stara się ustrzec klienta przed błędami. Wtedy mogę obserwować, jak wielokrotnie przedsiębiorstwa idą na łatwiznę i oczekują „gotowców” przedstawionych przez konsulting („płacę więc chcę mieć”). Co najbardziej zadziwiające, to powtarzające się w różnych firmach deja vu – moje dobre rady, sugestie czy wręcz ostrzeżenia są często odsuwane na bok i po raz kolejny zostaje popełniony ten sam błąd.

Dopiero po miesiącach firmy widzą co się stało:

  • system ZR jest często wyjmowany „z walizki” – to znaczy obejmuje potrzeby wszystkich sektorów, warianty struktur, modele procesów, katalogi wymagań i dobrych praktyk, jakie kiedykolwiek i gdziekolwiek pojawiły się w kontekście w zarządzaniu ryzykiem; najpóźniej po roku okazuje się, że 75% z tego to zbędny balast
  • tworzone są nowe lub znacznie rozbudowane struktury, tylko po to aby spełnić formalne wymagania jakiegoś „modelu” gdzieś podpatrzonego; struktury nic nie wnoszą w kategoriach jakości i szybkości procesu, a jedynie rozmywają granice kompetencji
  • wydłużane są i komplikowane kanały przepływu informacji i podejmowania decyzji, ośrodki kompetencji są nadmiernie hierarchizowane, informacje krążą niczym piłeczka od ping-ponga, decyzje zapadają po zebraniu łańcuszka podpisów
  • tworzone dokumenty (polityka ZR, procedury, podręczniki itp) są ogromne, przepastne, bardzo skomplikowane, nabite „pustą” informacją, nieprzystępne; firmy próbują zastąpić nimi żywą komunikację, teamwork, warsztaty, szkolenia i dyskutowanie
  • zbyt dużo uwagi jest skupione na czynności analizowania ryzyk i na problemach – a nie na rozwiązaniach i działaniu; w konsekwencji starcza energii na tylko jednorazowe wykonanie oceny i przeglądu ryzyk i brakuje kontynuacji (planów zaradczych i ich wdrażania); przegląd ryzyk nigdy nie powtarza się po raz drugi (pętla procesu ZR nie zamyka się)
  • proces ZR powstaje „obok” procesów biznesowych i zarządczych w firmie, a nie jako ich część, ponadto jest zbyt skomplikowany; w efekcie zarząd go „nie kupuje” i ZR umiera.

Nie daje mi to spokoju – wiem, że należy to robić inaczej. I nie ja pierwszy na to wpadłem, ktoś kiedyś już te błędy popełnił, ktoś już zaczął mysleć o „wysmukłym zarządzaniu ryzykiem”.
Wystarczy przyjrzeć się terminowi Lean Risk Management.

Zaczynam myśleć nad alternatywą dla monstrualnych piramid zintegrowanego systemu zarządzania ryzykami korporacyjnymi – dla spółek które chcą być efektywne, szybkie i wydajne a niekoniecznie muszą spełniać wszystkie wymogi compliance od Ameryki po Australię.

Małe może być piękne i szybkie. I niebawem to „małe” ujrzy światło dzienne. Wracajcie tu po swieżą krew.

Zapowiadana świeża krew pojawia się w kolejnym wpisie z cyklu.

Ryzyka – kostka Rubika …

Niedawno Strategic Risk opublikował kolejny obrazek z cyklu infographic – tym razem ilustrujący korelacje ryzyk globalnych między sobą.
risk connections

Jak bliżej się tej pajęczynie przyjrzeć, to robi się z tego kostka Rubika. Jak ktoś ma ochotę przyjrzeć się z bliska i połamać sobie głowę – proszę bardzo, obrazek w lepszej jakości jest tutaj.