Cele, cele są najważniejsze
Świadomość: sensowne cele podstawą rozpoznania ryzyka
- Pytanie: „czy i jakie jest ryzyko?” zawsze powinno być poprzedzone odpowiedzią na pytanie: „jakie są cele?”. Bo czy można ustalić cele zarządzania ryzykiem jeżeli nie znamy i nie rozumiemy celów organizacji?
W roku 1972, w Monachium, odbył się Światowy Kongres Zarządzania – The World Management Congress. Jednym z prelegentów był dr Eberhard Rees, jeden z szefów programu Apollo. Pomijamy samą osobę prelegenta i jego doświadczenia z okresu II Wojny Światowej (V-2) ale warto zauważyć to, co powiedział na temat realizacji przedsięwzięć związanych z realizacją programu Apollo. Według niego, głównym czynnikiem sukcesu (główną zasadą) było coś, co określił słowem „visibility”. Można to przetłumaczyć jako „widzialność”, „widoczność”. Tym pojęciem Rees określił stan, w którym zarządzający na wszystkich szczeblach w strukturach zarządzania mieli – w czasie rzeczywistym, czyli na bieżąco – dostęp do pełnych informacji o aktualnym stanie realizacji programu (i jego elementów składowych) jak i do informacji prognostycznych, dotyczących wielu miesięcy naprzód.
Służyło to między innymi temu, aby każda osoba biorąca udział w realizacji programu Apollo, bez względu na charakter i zakres zadań (obowiązków) miała świadomość, jakie jest miejsce efektów tej określonej pracy w ogólnym rezultacie programu. Inaczej mówiąc, jak osiąganie celów cząstkowych wpływało na osiąganie celów ogólnych poszczególnych projektów i całego programu.
Nie bez przyczyny, pierwszą fazę cyklu zarządzania ryzykiem nazywamy „ŚWIADOMOŚĆ”. Zarządzający organizacją a w szczególności zarządzający ryzykiem na jakie narażona jest działalność prowadzona przez organizację powinni mieć świadomość organizacji, inaczej mówiąc: jej znajomość. Warunkiem sine qua non właściwego rozpoznania (identyfikacji, analizy i oceny) ryzyka jest bowiem znajomość celów i ich rozumienie.
Wszyscy wiemy, że organizacji (instytucji, firmy, urzędu, firmy) nie tworzy się tylko po to, żeby powstała. I nie po to tylko, żeby istniała formalnie. Organizacja powstaje w jakimś zamiarze – niektórzy nazywają to „misją”. Ale żeby realizować misję organizacja potrzebuje celów, bez celów nie może funkcjonować.
Co to jest cel? Popularna definicja stanowi, że cel to:
Określony przyszły, pożądany stan bądź rezultat działania organizacji (człowieka, grupy, zespołu), możliwy do osiągnięcia w ustalonym czasie.
Przyszły, więc dotyczący przyszłości. Pożądany, ale nie pewny. A skoro tak to narażony na ryzyko.
Organizacja ustala własne cele ale też przyjmuje (adaptuje) cele narzucone i/lub proponowane przez otoczenie – na przykład przez przepisy prawa. Prowadząc swoją działalność organizacja powinna też brać pod uwagę cele podmiotów z otoczenia. Proszę zwrócić uwagę: nie piszemy a akceptacji tych celów ale o braniu ich pod uwagę albowiem organizacja nie działa w próżni i może być narażona na ryzyko wynikające z tego, ze podmioty z otoczenia realizują własne cele. Niekoniecznie sprzyjające osiąganiu celów przez naszą organizację. Ponadto członkowie organizacji mają własne cele. Historia zna wiele przypadków, kiedy osiąganie celów partykularnych niweczyło osiąganie celów organizacji. Jeżeli cele członków organizacji stoją w sprzeczności z celami organizacji pojawia się istotne ryzyko, że organizacja nie osiągnie swoich celów.
Popularny standard ISO 31000:2018 definiuje ryzyko jako „wpływ niepewności na cele”.
Wynika z tej definicji jednoznacznie, że ryzyko powinniśmy odnosić do celu lub celów naszej aktywności: rodzicielskiej, uczniowskiej, zawodowej, publicznej, urzędniczej czy też gospodarczej – każdej. Jeżeli ryzyko odnosimy np. do jakiejś aktywności lub działania to de facto odnosimy je do celów owej aktywności czy działania. Zatem ustalenie (określenie) celu lub celów stanowi fundamentalną podstawę do rozpoznania ryzyka a także podjęcia stosownych działań ograniczających zagrożenia i/lub wzmacniających szanse. Na sukces, oczywiście …
Słyszymy, publikowane są książki, o – na przykład – ryzyku procesów. Co to znaczy? Przecież procesy nie są ustanawiane i realizowane po to tylko by były realizowane. Realizacja procesów (działań, zdań) służy osiąganiu celów organizacji. Ryzyko procesów to ryzyko celów procesów i w konsekwencji celów organizacji.
Mówimy o … ryzyku IT. Ale tak naprawdę musimy mieć na uwadze ryzyko celów organizacji wynikające z wykorzystania technologii informatycznych. Te pojawiły się w organizacjach (urzędach i instytucjach) nie po to, żeby były ale po to, żeby organizacja mogła efektywniej i skuteczniej działać – osiągać swoje cele. Znowu, w istocie mamy do czynienia nie z ryzykiem IT ale z ryzykiem odnoszącym się do celów, których osiąganie wspiera IT.
Ryzyko personalne … co to znaczy? To ryzyko również powinno odnosić się do celów – w tym przypadku celów związanych m.in. z pozyskiwaniem i utrzymaniem pracowników oraz wykorzystaniem ich kompetencji. Rzecz jasna w perspektywie celów organizacji. Nie chodzi o to, żeby pan Iksiński przychodził codziennie do pracy ale by coś z tego wynikało dla celów organizacji.
Ryzyko personalne, ryzyko IT, ryzyko procesów to – podobnie jak ryzyko finansowe – brzmi jak kategorie ryzyka: kategorie dziedzin i obszarów w których ryzyko jest rozpatrywane. Ale zawsze w odniesieniu do celów.
RYZYKO ODNOSI SIĘ DO CELÓW
Jeżeli nie wiesz, co chcesz osiągnąć, nie musisz martwić się ryzykiem
Jest też druga strona medalu: właściwe rozpoznanie ryzyka powinno wpływać na określanie celów: tak, by były właściwie określone i by było możliwe ich osiągnięcie. Mamy tu niewątpliwie do czynienia ze sprzężeniem zwrotnym: cele <–> ryzyko. Niestety, bardzo często bywa tak, że określając swoje zamierzenia i cele pomijamy potencjalny wpływ różnorakich czynników na naszą zdolność do osiągnięcia tych celów.
Czy to znaczy, że cele powinny być „risk free”, czyli wolne od ryzyka? Nie, zresztą pewnie nie da się określić takiego celu, który byłby absolutnie pozbawiony wpływu ryzyka. Chodzi głównie i przede wszystkim o to, żeby właściwie rozpoznawać i rozumieć ryzyko, jakie może wpływać na osiągnięcie określonego celu. Po to, by mieć szanse wpływania na ryzyko.
Jest faktem, że rozpoznanie i ustalenie celów organizacji stanowi często największy problem. Dlatego zamiast konkretnymi, precyzyjnymi deklaracjami celów posługujemy się opisami naszych oczekiwań, życzeń, aspiracji, zamierzeń i to na takim poziomie ogólności, że przeprowadzenie rozpoznania ryzyka (przyczyny – zdarzenia – skutki) jest praktycznie niemożliwe lub bardzo pracochłonne. Zapewne Czytelnicy spotkali się ze stwierdzeniem, że cele powinny spełniać kryteria określone jako S.M.A.R.T. Wymyślono też wiele innych kryteriów, które pozwalają zdefiniować cele w sposób dający możliwość właściwego rozpoznania ryzyka związanego z tymi celami. Nie wystarczy wymyślić cele, trzeba je jeszcze odpowiednio określić – opisać. Jeszcze o tym napiszemy …
Reasumując: identyfikacja, analiza i ocena ryzyka przeprowadzone w oderwaniu od sensownie określonych celów będą działaniem „sobie a muzom”. Szkoda czasu i pieniędzy.