ROZPOZNANIE: Struktura ryzyka – część II
Typowe nieprawidłowości w opisie ryzyka
- Warunkiem sine qua non nadziei na skuteczne zarządzanie ryzykiem jest pełne zrozumienie ryzyka. To zaś zależy od właściwego zidentyfikowania i opisania struktury ryzyka - co najmniej potencjalnych przyczyn, zdarzeń i konsekwencji i relacji pomiędzy nimi.
W części I opisaliśmy strukturę ryzyka – jego elementy składowe. Niektórzy tak skonstruowany opis, czyli łańcuch przyczynowo-skutkowy (podatność –> przyczyny –> zdarzenia –> skutki –> wpływ) określają mianem „scenariuszem ryzyka”. Nie jest to do końca właściwe porównanie bowiem scenariusze (i to nie te filmowe czy teatralne) zawierają nieco więcej informacji.
Pierwsza część artykułu: „ROZPOZNANIE: Struktura ryzyka – część I”
Produktem procesu rozpoznania ryzyka jest (powinien być) właściwie zdefiniowany i wypełniony rejestr ryzyka. W szczególności, rejestr ryzyka odzwierciedlać powinien strukturę ryzyka: cały łańcuch przyczynowo-skutkowy. A jak jest w realnym świecie? Popatrzmy na kilka przykładów, zaczerpniętych z oficjalnych i dostępnych publicznie dokumentów. Nie podajemy nazw instytucji, z których pochodzą omawiane przykłady, albowiem nie chodzi nam o krytykowanie ale o pokazanie i ocenę zjawiska jako takiego.
Szablony rejestrów ryzyka
Ponieważ nie ma ogólnych przepisów regulujących strukturę i zawartość rejestrów ryzyka ich zdefiniowanie leży w gestii kierujących tymi jednostkami. Najczęściej odbywa się to poprzez ogłoszenie zarządzenia w sprawie zarządzania ryzykiem lub polityki zarządzania ryzykiem. W tych dokumentach, w załącznikach podane są wzory (szablony) rejestru ryzyka. Najczęściej wykorzystywanym narzędziem implementacji rejestru ryzyka jest arkusz kalkulacyjny. Pewnie byłoby pożądane, aby jednostki wykorzystywały bardziej zaawansowane narzędzia (programy) ale i za pomocą arkusza można stworzyć przyzwoite narzędzie wspierające realizację procesów zarządzania ryzykiem.
Definicja (wskazanie struktury) rejestru ryzyka ma ogromne znaczenie bowiem arkusz stanowi tylko wypełnienie ustanowionych regulacji wewnętrznych. Popatrzmy na kilka przykładów pokazujących, jak w różnych podmiotach (instytucjach, urzędach) określa się strukturę rejestru ryzyka a co za tym idzie, strukturę opisu ryzyka. Nie będziemy odnosić się do całości struktury rejestru a tylko do tych fragmentów, które mają opisywać ryzyko – jego strukturę.
Przykład 1
Dwie rubryki przeznaczono na opis ryzyka:
– „ryzyko”
– „opis skutku ryzyka w danym obszarze”
Widać brak miejsca na wskazanie przyczyn potencjalnego ryzyka.
Wada podstawowa jest taka, że opis ryzyka w jednej komórce nie pozwala zbudować struktury „przyczyna à zdarzenie”. Tym bardziej, że określone zdarzenie może mieć wiele przyczyn, które samodzielnie lub w powiązaniu z innymi mogą spowodować materializację ryzyka.
Niestety, taki opis daje też niewielkie możliwości analityczne. Proszę zwrócić uwagę, że rejestr obejmuje zakres działania określonej komórki organizacyjnej – co nie jest złe samo w sobie. Ale przecież określone zdarzenie może wpływać na osiąganie celów innych komórek organizacyjnych i na poziomie całej organizacji a nie tylko na poziomie określonej komórki organizacyjnej. Analiza zapisów tak sporządzonego rejestru musi być bardzo czasochłonna i pracochłonna.
I jeszcze jedno, nie ma w rejestrze miejsca na wskazanie celu, na którego osiąganie może wpływać ryzyko.
Przykład 2
Pozytywne jest to, że przewidziano na wskazanie celu a także zaznaczono prawidłowo, że opis ryzyka ma swoja strukturę. Ale struktura pól w rejestrze tego nie umożliwia. Jak w poprzednim przykładzie: zdarzenie może mieć wiele przyczyn a także może prowadzić do całego łańcucha (propagacji) skutków.
Przykład 3
Podobnie jak poprzednio: w strukturze rejestru nie przewidziano miejsca na opisanie – w sposób strukturalny – całego łańcucha przyczynowo-skutkowego. Brak również miejsca na odniesienie do celu narażonego na ryzyko. Owszem, jest miejsce na opisanie „podzadania” ale ono ma zapewne jakiś cel; cel cząstkowy, którego osiągnięcie jest wymagane dla osiągnięcia celu w szerszej skali – celu ogólnego. Tutaj nie ma możliwości na opisanie takiej relacji.
Przykład 4
Sama kategoria ryzyka jako opis ryzyka? Nadzwyczaj oszczędne i … ryzykowne. Wprowadzanie wyłącznie kategorii ryzyka nie daje szans na zrozumienie struktury ryzyka: przyczyn, zdarzeń i skutków.
Plusem jest odniesienie do określonego celu.
Przykład 5
W tym przypadku przewidziano, że na określone zadanie (i jego cele zapewne) może oddziaływać niejedno ryzyko. Ale jak poprzednio, brak miejsca na prawidłowe opisanie struktury ryzyka.
Przykład 6
Plusem jest wskazanie zadań i celów. Minusem – jak zwykle – niemożność strukturalnego opisania ryzyka. Wskazanie przyczyn, zdarzeń i skutków w jednej komórce tabeli lub arkusza nie daje żadnych szans na ogólną analizę ryzyka organizacji – w tym przypadku Urzędu Gminy. Trzeba mieć na uwadze, że te same kategorie przyczyn lub wręcz te same przyczyny mogą oddziaływać na cele więcej niż jednej komórki organizacyjnej. Przy takiej strukturze rejestru ryzyka wyłowienie takich powiązań może być niezwykle trudne.
Przykład 7
Jedno pole do opisania struktury ryzyka? Można, ale możliwości analityczne będą żadne. No i brak wskazania (odniesienia do) celu.
Przykład 8
Mamy cel strategiczny zdekomponowany na cel komórki organizacyjnej – to dobrze. Można powiązać ryzyko z tymi celami. Ale znowu, opis ryzyka w jednej komórce? To nie może się udać …
Mamy wrażenie, podobnie jak w poprzednich przypadkach, że praca związana w opisaniem ryzyka w tak skonstruowanym rejestrze nie będzie przydatna do niczego. Poza jednym: obowiązek sporządzenia rejestru (czytaj: przeprowadzenia identyfikacji, analizy i oceny ryzyka) zostanie wypełniony. I jeżeli nic złego się nie stanie to nikt nie będzie miał jakichkolwiek uwag i pretensji. A gdyby co, zawsze można powiedzieć, że „wszystkiego nie da się przewidzieć”.
Przykład 9
Jest cel – jest dobrze. Ale znowu mamy grzech powszechny: brak możliwości strukturalnego opisu ryzyka: przyczyn, zdarzeń i konsekwencji. Nie mówiąc o wpływie na osiąganie celu.
No i ja poprzednio w ten sposób pozbawiono się możliwości analitycznych.
Na zakończenie tej części jedna uwaga.
Tabela w edytorze tekstów czy w arkuszu kalkulacyjnym jest niczym innym jak tzw. płaską bazą danych. Niesie to ze sobą pewne ograniczenia (które są wyeliminowane w np. relacyjnych bazach danych) ale to nie znaczy, że powinno się rezygnować z dostępnych – w przypadku płaskich (jednowymiarowych) baz danych – możliwości analitycznych takich jak na przykład porządkowanie, sortowanie, filtrowanie itp.
Najlepiej zrozumieć to na przykładzie. Możemy w jednej kolumnie tabeli lub arkusza wpisywać Imiona i nazwiska osób. Ale wówczas „wyłapywanie” osób o takim samym imieniu wymaga zbędnych sztuczek. Jeżeli zaś imiona wpisujemy do jednej kolumny a nazwiska do innej wówczas mamy możliwość bardzo łatwego filtrowania osób. Podobnie z ryzykiem: wpisanie przyczyn, zdarzeń i skutków do osobnych kolumn (tabeli lub arkusza) pozwala nam na bardzo łatwe wychwytywanie przyczyn, zdarzeń i skutków określonych rodzajów (kategorii).
Rzeczywiste opisy ryzyka
Określona w formie regulacji wewnętrznej struktura rejestru ryzyka wymusza niejako sposób i zakres opisu ryzyka. Pod słowem „wymusza” należy także rozumieć słowo „ogranicza”. Do tego dochodzi sam opis co w efekcie może spowodować niewielką użyteczność tak zgromadzonych i przedstawionych informacji. Popatrzmy na kilka przykładów …
Przykład 1
Jest cel – ale nie zajmujemy się jego istotą. Popatrzy na opis ryzyka: a z jakich to powodów nauczyciele mogą rozwiązać umowy o pracę? Niskie wynagrodzenie? Nieodpowiadający plan lekcji? A może … konflikty w gronie … grona pedagogicznego? O ile skutek podobny o tyle zapobieganie tego typu zdarzeniu (ryzyku) wymagać może różnych działań w zależności od potencjalnej przyczyny.
Przykład 2
Mamy pytanie: czy powód „jednoczesnej nieobecności w pracy wszystkich pracowników Wydziału PR” może wynikać wyłącznie z jednej przyczyny? Co może być tą przyczyną? Przez jaki czas? Jak jej przeciwdziałać jeżeli nie jest znana? Przecież może to być choroba albo np. wyjazd szkoleniowy całego zespołu? I jako to może mieć skutek dla Urzędu i celów?
A „nieprzygotowanie wniosków…”? Jaka przyczyna może spowodować takie zdarzenie? A może brak wiedzy (umiejętności)? A może – wspomniana już – nieobecność?
Przykład 3
Krótkie pytanie się nasuwa: Jak (w jaki sposób) „stałe monitorowanie danych makro i mikriekonomicznych” może ograniczyć … zmianę koniunktury gospodarczej?
Nie mamy więcej pytań …
Przykład 4
Opis czynnika ryzyka jest de facto szczegółowszym opisaniem nazwy czynnika ryzyka. Rodzi się pytanie o możliwe przyczyny „braku umiejętności efektywnego wykorzystania funkcjonalności systemu”. No bo jak ograniczać takie ryzyko? I jeszcze jedno, kluczowym celem wdrożenia systemu nie jest chyba pozytywny odbiór systemu wśród użytkowników? Oczywiście, może to mieć znaczenie ale tylko pośrednie.
Niestety, powyższe przykłady „z życia” wskazują na niedostateczne zrozumienie istoty ryzyka: zarówno poszczególnych elementów (przyczyn, zdarzeń i skutków) jak i relacji pomiędzy nimi a także wpływu ryzyka na cele organizacji.
Katalogi ryzyka
Bardzo często zarządzenia (polityki lub procedury) dotyczące zarządzania ryzykiem oprócz zdefiniowania struktury rejestru ryzyka zawierają katalog ryzyka, pogrupowanych w ramach przyjętych kategorii. To ma zapewne pomóc w rozpoznaniu ryzyka i jego opisaniu w rejestrze ale czy to rzeczywiście pomaga? Przyjrzyjmy się …
Przykład 1
Na przykład pozycja 2: „nienależne pobranie środków”. To niewątpliwie bardzo ogólny opis zdarzenia. Ale należałoby zapytać: jakich środków? Na co przeznaczonych? Przez kogo? Kiedy pobranych? Na jakiej podstawie?
Co może spowodować takie zdarzenie? Jakie mogą być przyczyny? Jakie to może mieć skutki i konsekwencje dla Urzędu? Dla budżetu? Dla celów związanych z przestrzeganiem prawa?
Nie mamy tu odpowiedzi. Zamysł dobry, takie katalogi pomagają ale … powinny być precyzyjniej sformułowane.
Przykład 2
Popatrzmy: „Opublikowanie wadliwych aktów prawnych”. Sprawa poważna, zdarzenie poważne a potencjalne przyczyny? Jak zapobiegać (ograniczać) czemuś, czego nie znamy?
Co to są „niewłaściwe działania organów kontroli”? Chodzi o działania NIK? A może o działania kontrolne prowadzone przez Urząd Wojewódzki w stosunku do podlegających nadzorowi i kontroli – ze strony UW – podmiotów?
Znowu, idea dobra, zamysł zacny, wykonanie … niedokończone
Reasumując, kiedy patrzymy na powyższe przykłady mamy spore wątpliwości co do zakresu i rzetelności przeprowadzanych analiz ryzyka w różnego rodzaju instytucjach. Mamy wrażenie, że nakładane lub przyjmowane obowiązki w zakresie zarządzania ryzykiem są realizowane jakby po macoszemu – bez głębszego wnikania w istotę zagadnienia. Wszystko jest dobrze, o ile ryzyko się nie materializuje ale nawet wówczas organizacje pozbawiają się możliwości (okazji) głębokiej analizy prowadzonej działalności i związanych z tym zagrożeń. Szczególnie, że te zagrożenia mogą pochodzić z zewnątrz a wówczas wypadałoby być przygotowanym.
Oczywiście, trudno generalizować na podstawie kilkunastu przypadków. Ale ponieważ publikowanie rejestrów ryzyka nie jest obowiązkowe to można też spodziewać się, że jednak nie jest lepiej niż to pokazaliśmy.
O rejestrze ryzyka, jego strukturze i zawartości będziemy jeszcze pisać.