Bogusław Feliszek, 2010-06-07 |
"Czego nie widzieli Alicja i Achilles, czyli 13 błędów w zarządzaniu ryzykiem" |
W "Alicji w krainie czarów" Lewisa Carrolla Król prosi Alicję: "Wyjrzyj na drogę i powiedz mi czy kogoś nie widać." "Czy widzę kogoś na drodze? Nikogo!" rzekła Alicja. "Ach, żebym ja miał taki wzrok" - powiedział z żalem Król. "Nikogo! Na taką odległość! Ja przy tym świetle widzę tylko tych co istnieją." Świat Króla jest otwarty, świat Alicji zamknięty. Król przyjmuje, że jeżeli nie widać bezpośrednich dowodów (przy tym świetle i na taką odległość!), to mogą one być ukryte/niewidoczne/nierozpoznawalne. Alicja wnioskuje inaczej: "Nie widzę, więc tego nie ma." Logicy mówią o dwóch regułach wnioskowania: 1. regule zamkniętego świata (close world assumption) i 2. regule układu domyślnego (the frame default). Pierwsza stanowi, że brak w bazie danych pozytywnej informacji dotyczącej istnienia danego zjawiska świadczy, że to zjawisko, bądź jego własność, nie istnieje. Druga zakłada, że przy zmianie stanu świata nie zmienia się nic, co nie musi się zmieniać. Krótko mówiąc, w świecie zamkniętym co może nie istnieć - nie istnieje; w układzie domyślnym istnieje wszystko, co może istnieć. Świadomość granic swej wiedzy, nieograniczona wyobraźnia i stałe pytanie: "A co jeżeli tak?" znacząco zmniejszają ryzyko błędu w zarządzaniu ryzykiem. Oto trzynaście najbardziej rozpowszechnionych błędów w zarządzaniu ryzykiem: 1. Jesteśmy przekonani, że "Nam nic złego nie może się przydarzyć!". Każda działalność biznesowa jest obarczona ryzykiem. Nawet "nicnierobienie" i kurczowe trzymanie się status quo obarczone jest ryzykiem. Także w tej chwili Twoja firma wystawiona jest jakieś ryzyko; haker może włamać się do głównego serwera, strategiczny klient rozwiąże umowę, kluczowy pracownik przyniesie L4. Ludzie, którzy przećwiczyli zachowanie w jednej kryzysowej sytuacji, są potencjalnie lepiej przygotowani do innych zagrożeń. Pamiętaj, że więcej samolotów szczęśliwe startuje niż ląduje, więc lepiej zawsze siedzieć blisko wyjścia :-) 2. Unikamy ryzyka zamiast nim zarządzać. Ryzyka nie należy oceniać w kategoriach prawdopodobieństwa sukcesu, lecz w kategorii wartości celu. Jeżeli cel jest niezwykle cenny, czasem warto świadomie ryzykować. Praca ekspertów zarządzania ryzykiem wiąże się ze stałym pytaniem, "A co będzie jeżeli wydarzy się...?" Takie nastawienie sprawia, że często są postrzegani jako pesymiści, czarnowidze i defetyści, którzy podkreślają niebezpieczne lub ryzykowne aspekty rozważanego działania. Aliści, osoby zajmujące się analizą ryzyka powinny unikać syndromu PP (Przestraszonego Przedszkolaka). Kiedy w każdym nowym projekcie widzą jedynie minusy, ich wiarygodność szybko wyparowuje jak woda z gwiżdżącego czajnika. 3. Uważamy, że możemy zarządzać ryzykiem przez przewidywanie ekstremalnych wydarzeń. Zamiast kalkulować poziom ryzyka (jakie jest prawdopodobieństwo, że coś złego się stanie), może lepiej myśleć co zrobić kiedy to się wydarzy. To podstawa w planowaniu zarządzania ryzykiem. Jeżeli masz plan i jesteś przygotowany na nadejście najgorszego, to właściwie nic nie może Cię zaskoczyć. 4. Jesteśmy przeświadczeni, że "zarządzanie ryzykiem" polega na wykupieniu "polisy ubezpieczeniowej." Polisy ubezpieczeniowe są jednym z komponentów planu zarządzania ryzykiem, ale nie jego podstawą. Jest jeszcze wiele narzędzi i usług służących monitoringowi i ocenie aktualnego poziomu ryzyka – od planu ciągłości działania (business continuity plan) przez plan komunikacji ryzyka (risk communication plan) po oprogramowanie antywirusowe w każdym komputerze. 5. Kierujemy się przeświadczeniem, że studiowanie przeszłości pomoże nam w zarządzaniu ryzykiem. Dzisiejszy świat w niczym nie przypomina tego z kart historii. Zawsze wydarzy się coś "bezprecedensowego". Doświadczenia z przeszłości nigdy nie będą dosłownie przełożone na doświadczenia z przyszłości. Trzeba studiować historię, ale nie należy wyciągać z niej jednoznacznych wniosków dotyczących tego, co przed nami. 6. Pozwalamy, żeby w ocenę i zarządzanie ryzyka były zaangażowane ośrodki, które same generują ryzyko. Czy polityka ochrony zasobów cyfrowych została stworzona przez Twój dział informatyczny? Brak krytycznego spojrzenia z zewnątrz wystawia system informatyczny i własność intelektualną na ataki wewnętrzne. To tylko jeden przykład kiedy zarządzanie ryzykiem przez jego potencjalne źródło wytwarza złudne poczucie bezpieczeństwa. 7. Nie prowadzimy regularnych pomiarów poziomu ryzyka. Nawet jeżeli masz plan zarządzania ryzykiem, jest więcej niż prawdopodobne, że jest to wersja sprzed dwóch lat. W tym czasie w firmie wiele się zmieniło. Ryzyko nie jest stanem stałym; codziennie pojawiają się nowe zagrożenia. Zarządzanie ryzykiem to nie tylko charakterystyka zagrożeń i ocena prawdopodobieństwa ich wystąpienia oraz mapa ryzyka i mapa zagrożeń. W proces zarządzania ryzykiem musi być wpisane stałe monitorowanie poziomu aktualnego zagrożenia i raportowanie w formacie ułatwiającym podjęcie szybkich i trafnych decyzji. 8. Nie stosujemy się do porad czego nie powinniśmy robić. Zaoszczędzona złotówka to złotówka zarobiona. I tak samo – unikanie strat może być lepszą strategią finansową od generowania zysków. Stąd, zarządzania ryzykiem może być traktowane jako sposób zarabiania pieniędzy. Straty i zyski – nie sposób oddzielić jednego od drugiego. 9. Nieefektywnie i niewydajnie dysponujemy zasobami służącymi do zarządzania ryzykiem. Po zakończeniu audytu podatności organizacji na ryzyko, stajesz zazwyczaj przed paraliżującym zadaniem zaplanowania jak wykorzystać wyniki. Które problemy rozwiązywać już teraz? Co może lub musi poczekać? Jak podzielić środki? Jakie wyznaczyć terminy? Dobry praktyk zarządzania ryzykiem pomoże Ci uporać się z najważniejszymi zadaniami w pierwszej kolejności. 10. Mylnie zakładamy, że w matematyce i psychologii obowiązują identyczne zasady. W świecie liczb absolutnych dwa wydarzenia mogą być wobec siebie absolutnie równe, ale to samo wydarzenie subiektywnie postrzegane przez różnych ludzi może mieć różną wartość i być odmiennie interpretowane. "Solidarni 2010" Ewy Stankiewicz i Jana Pospieszalskiego to dla jednych "głos narodu", dla innych "głos motłochu". Liczby to tylko liczby; uczucia, wartości i ocena ryzyka nie są tak jednoznaczne. 11. Nie szkolimy pracowników jak radzić sobie z zagrożeniami. Każde narzędzie ma taką wartość jak umiejętności jego użytkownika. Bez praktycznego przeszkolenia załogi jak korzystać z planów ciągłości działania, robić kopię zapasowych dysków (backups), chronić komputery przed hakerami zarządzanie ryzykiem pozbawione jest sensu. Po awarii głównego serwera, wyłączeniu telefonów lub nadejściu powodzi może być za późno na tłumaczenie pracownikom jak zachować się w takich okolicznościach. Jeżeli jednak wydarzy się przykry wypadek, poczujesz się lepiej wiedząc, że przeszkoliłeś ich wcześniej. 12. Jesteśmy uczeni, że zwiększanie wydajności i maksymalizowanie wartości dla akcjonariuszy nie dopuszcza redundancji. Optymalizacja procesów zwiększa ich wrażliwość na zmiany. Dynamiczne, mocne i trwałe procesy poddają się zmianom, ale odporność na kryzys ma swoją cenę. Jeżeli jesteś zbyt perfekcyjny, wyspecjalizowany i zoptymalizowany, może się zdarzyć, że w kryzysie nie znajdziesz rezerwy na żaden manewr ratunkowy, a stąd już krok do katastrofy. 13. Lekceważymy potrzebę stałego dokształcania się. Praktycy zarządzania ryzykiem mylą się kiedy mówią, że obowiązki nie pozwalają im dokształcać się. Poszerzanie wiedzy i doskonalenie umiejętności to właśnie istotna część ich obowiązków. Wczorajsze umiejętności nie gwarantują sukcesu w przyszłości. Takich gwarancji nie daje nawet to, co wiemy i potrafimy dzisiaj. Nową wiedzę natychmiast testujemy w praktyce – zostawiamy tylko to, co się sprawdza. Najlepsi fachowcy w zarządzaniu ryzykiem są jak rekiny: jeżeli przestaną się ruszać, zginą. (Rekin nie ma pęcherza pławnego i zatonąłby gdyby przestał ruszać płetwami.) Konkluzja Starożytni Grecy uważali arogancką dumę za najbardziej naganną ludzką przywarę. Grecka historia pełna jest bohaterów, którzy zapłacili najwyższą cenę za swoją pychę, butę i zuchwałość. Achillesa i Agamemnona zgubiła arogancja, potężnego Kserksesa – butny atak na Grecję. Także każda organizacja, która nie pozna swej pięty Achillesa jest skazana na porażkę. Największe ryzyko tkwi w nas samych: przeceniamy naszą wiedzę i wartość doświadczenia, pomijamy wagę tego, czego nie wiemy i nie jesteśmy w stanie przewidzieć. |