Żeby nie poprzestać tylko na narzekaniu na efekt działań Wielkiej Czwórki konsultingu, postanowiłem zdiagnozować przyczyny niekorzystnego stanu rzeczy, jaki może zaistnieć po nieudanym wdrożeniu systemu zarzadzania ryzykiem korporacyjnym, opisanego w jednym z poprzednich wpisów.
Wielki konsulting, uporczywie trzyma się starego już COSO opartego na sztywnych mechanizmach kontroli. Ignoruje się jeden z zapisów, jaki pojawił się w nowej normie ISO 31000, uwzględniającej wnioski z błędów popełnionych przez ostatnie dziesięć lat. Otóż warunkiem powodzenia we wdrażaniu ERM jest zrozumienie i uszanowanie wewnętrznego kontekstu firmy:
- istniejącej struktury organizacyjnej, ról i zakresów władzy na poszczególnych szczeblach
- istniejących procesów i procedur postępowania managementu
- rozłożenie ośrodków wiedzy i zasobów (tj ludzi, kapitału, czasu, technologii)
- niepisanych relacji, percepcji i wartości dla interesariuszy
- kultury organizacyjnej oraz zasad podejmowania decyzji i delegowania.
Zapomina się, iż system ERM (i jakikolwiek system zarządzania) istnieje dla klienta. W tym wypadku jest nim klient wewnętrzny: zarząd i management. Wartość dodaną przez system ERM należy postrzegać wyłącznie z perspektywy klienta wewnętrznego, a wartością dla managementu jest:
- rozwiązanie problemu,
- zakomunikowanie rozwiązania, oraz
- dokonanie „fizycznej zmiany” (implementacja rozwiązania).
Po dokonaniu sekcji pacjenta, widzimy:
Błędy na etapie tworzenia systemu
1. proces i procedury mają zbyt wiele etapów i kroków
- spisane procedury mają zbyt wiele poziomów, są zbyt szczegółowe i złożone
- polityka, procedury, księgi, podręczniki są zbyt obszerne i nieprzystępne
2. proces (jego twórcy) z góry zakłada brak pracy zespołowej lub ogranicza jej zakres
- zakłada naukę zarządzania ryzykiem z dokumentów, procedur
- brak (lub za mało) „żywych” szkoleń i warsztatów
3. proces z założenia nie jest integrowany z istniejącymi procesami biznesowymi lub zarządczymi
4. proces jest nieprzemyślany, sztywny, oparty na zbędnych działaniach
- „łańcuszki” akceptowania i decydowania
- sztywne, regularne spotkania (nawet, jak nic nie wnoszą)
- sztywne, planowe fazy i etapy (przez które trzeba przejść, bo są)
- gromadzenie i kumulowanie zbędnych / nadmiarowych informacji
5. proces nie dość jasno i jednoznacznie określa role
- pojawia się zbyt wiele funkcji i ról
- niejasne zasady dotyczące decydowania, odpowiedzialności, „eskalowania” i komunikowania ryzyk
6. brak sensownej koncepcji wykorzystania danych
- brak przepływu, porządkowania i interpretacji danych (historycznie zrealizowane ryzyka, incydenty, analizy trendu, rozwiązania)
Błędy na etapie identyfikacji ryzyk
1. brak pracy zespołowej
2. warsztaty, jeśli są, to nieefektywne
- brak fachowego przewodnictwa / moderowania
- szukanie w „nierelewantnych” obszarach (brak relacji do kontekstu wewn/zewn)
- bez podsumowania / konkluzji oraz bez kontynuacji w działaniach
3. nieprawidłowa / niepełna analiza ryzyk
- brak analizy root-cause,
- w konsekwencji brak prawidłowej definicji ryzyka P->R->S
- zbyt wiele skomplikowanych analiz (w proporcji do wielkości ryzyka)
Błędy na etapie analizy i szacowania ryzyk
1. nadużycie analityki
- obciążanie uczestników procesu skomplikowaną analizą matematyczną, podczas gdy wystarczyłaby (prosta) analiza jakościowa
2. skale i miary źle skonstruowane
- zbyt wiele kryteriów
- zbyt szczegółowe kryteria
- zbyt wiele poziomów na skali
3. niewykorzystanie wiedzy istniejącej w firmie
- niedopasowanie analizowanych ryzyk do kompetencji zespołów (błędne szacowanie za pierwszym podejściem, konieczność powtórek)
- analizowanie ryzyk jednoosobowo (np. przez przyszłych właścicieli ryzyk) z „oszczędności czasu”
4. brak ujednoliconych (wspólnych) zasad, metod i założeń do szacowania ryzyk w różnych pionach / departamentach
5. nie grupuje (agreguje) się ryzyk
- ryzyka działające łącznie są niedoceniane na mapie ryzyk
- ryzyka podobne nie są mitygowane łącznie (gorsze ROI działań zaradczych)
Błędy na etapie reagowania na ryzyko
1. zbyt nisko postawiony próg „akceptuj”
- zbyt wiele nieistotnych ryzyk obciąża management
2. właścicielstwo ryzyk postawione zbyt wysoko
- decydowanie / zarządzanie ryzykami nie następuje na najniższym możliwym poziomie (na którym są kompetencje, władza menedżerska i budżet / zasoby)
- zbyt wiele czasu traci się na czekanie na weryfikację, akceptację czy opiniowanie przez pośredników pomiędzy de facto właścicielem a zarządem
3. brak selekcji środków zaradczych poprzez analizę kosztów / korzyści
- brak takiej refleksji również w stosunku do istniejących środków kontroli
4. plany zaradcze nie są sprzężone z planami wykonawczymi w firmie
- brak połączenia z istniejącymi / planowanymi projektami
- nieuwzględnianie w budżetach projektu / departamentu / procesu
5. plany zaradcze nie są wykonywane i egzekwowane
- nie mierzy się i nie kontroluje postępów we wdrożeniu planów ograniczania ryzyka
- nie bada się skuteczności i efektywności ekonomicznej środków kontroli
- motywowanie do ich poprawy staje się przez to niemożliwe
- nie są elastycznie zmieniane w reakcji na zmianę otoczenia lub okoliczności
Błędy na etapie monitorowania i „zamykania” ryzyk
1. tworzenie „śmieciowych raportów”
- powstają przepastne raporty pokazujące wszystkie informacje – głównie zbędne – we wszystkich możliwych wariantach
- zapoznanie się z nimi zajmuje sporo czasu oraz powstaje sporo wątpliwości co do interpretacji i wniosków
- ruch informacji i decyzji jest w ten sposób hamowany lub wręcz zatrzymywany
2. brak uporządkowanych informacji
- informacje rozsypane po departamentach, komórkach
- niespójny układ informacji, uniemożliwiający ich wspólne analizowanie
- informacje przestarzałe i / lub niekompletne
3. niezdolność do akceptacji i decydowania o „zamykaniu” ryzyk
- kiepsko zdefiniowane poziomy uprawnień do „zamykania” (akceptowania) ryzyk
- niezdefiniowane kryteria uznawania środków zaradczych za wystarczające a ryzyko za opanowane (apetyt na ryzyko)
- niedowiązanie do tej decyzji wniosków z analizy incydentów
Ta lista niepokojących objawów jest rzeczywiście bardzo długa, nic dziwnego, że niektórzy pacjenci na tę chorobę umierają. Ale nie byłby lekarzem ten, kto ograniczyłby się do wywróżenia rychłej śmieci pacjentowi, bez podjęcia próby leczenia.
Zasadniczo mam juz komplet lekarstw, niebawem wchodzą w fazę testów klinicznych, zatem czekajcie na świeżą krew i zaglądajcie tutaj …
ryzyko jest piękne 