Identyfikacja, ocena i pomiar ryzyka | Uwaga! Jest to część prowadzonego przeze mnie dawniej, starego serwisu ryzyko.pl. Znaczna część informacji na tej stronie może więc być już nieaktualna a nawet fałszywa. Z drugiej strony czasem można przekonać się jakie były przewidywania i plany, a jak potoczyła się rzeczywistość.. Marcin Z. Broda | Do truizmów zalicza się stwierdzenie, iż każde przedsięwzięcie gospodarcze obarczone jest ryzykiem. Za to problemem - i to kluczowym dla przedsiębiorcy - jest określenie, gdzie to ryzyko występuje, jak jest wielkie, jaki może mieć wpływ na jego organizację oraz, już na kolejnym etapie, co można zrobić, by to ryzyko wyeliminować lub ograniczyć. Całością takich badań zajmuje się zarządzanie ryzykiem. W zależności od konkretnej branży, czy też tylko po prostu kultury organizacyjnej konkretnej organizacji może ono przyjmować różne formy. Jednak zawsze powinno oznaczać zorganizowane i kompleksowe podejście do ryzyka w całym przedsiębiorstwie oraz w jego otoczeniu. Działa tutaj bowiem prosta zasada: organizm chory "zaraża" organizm zdrowy. Inaczej rzecz ujmując - jeśli jeden z naszych dostawców zawiedzie opóźniając dostawę drobnego, ale niezbędnego w naszym procesie produkcyjnym, detalu - my również możemy mieć poważne kłopoty. Właśnie podobne jak w tym prostym przykładzie problemy legły u podstaw wymyślenia systemu norm ISO. Później koncerny samochodowe wymusiły już tylko na dostawcach ich wprowadzenie ograniczając u siebie zagrożenia związane z ryzykiem nierytmicznych i o niedostatecznych parametrach dostaw od znacznej ilości kooperantów. Według niektórych szacunków wprowadzenie tego typu rozwiązań w powiązaniu z długoterminowymi umowami pozwoliło ograniczyć globalne koszty produkcji w niektórych wypadkach nawet ponad 10%. Już na tym prostym przykładzie widać, że zarządzanie ryzykiem jest procesem bardzo złożonym. Jeżeli ma być efektywne, tj. przynieść organizacji zysk, powinno być bardzo głęboko w niej osadzone. Oznacza to przede wszystkim, iż nie może być takich działań w organizacji, które zarządzaniem ryzykiem nie są objęte. Zawsze w takich wypadkach istnieje bowiem obawa, że obszar, który nie jest chroniony może być przyczyną szkody lub - co gorsza - wielu szkód prowadzących organizację do bardzo trudnej sytuacji lub nawet zapaści. Podkreślić przy tym należy, że podstawowym zyskiem z prowadzenia zarządzania ryzykiem jest właśnie bezpieczeństwo. Mówiąc obrazowo: organizacja, która nie zna dokładnie zagrożeń, na które jest narażona, ani nie planuje w odpowiedni sposób podjęcia tych ryzyk - nie zna swojego dnia, ani godziny. Podstawą całego procesu zarządzania ryzykiem jest dokładne poznanie zagrożeń jakie występują w działaniach organizacji. Efektywna walka z ryzykiem bez tej wiedzy jest bowiem praktycznie niemożliwa. Jednak to nie wszystko. Wyobraźmy sobie bank posiadający wszystkie niezbędne i sprawnie działające systemy zabezpieczeń fizycznych, odpowiedni, zabezpieczony przed dostępem z zewnątrz system komputerowy, sprawdzony system przydzielania uprawnień pracownikom oddzielający między innymi zadania tzw. front i back office (czyli prowadzenia i rozliczania transakcji). Wszystko wydaje się być w porządku. Nie można oczywiście pominąć złamania systemów, ale tego wykluczyć się nigdy nie da. Jednak procedury tego banku mogą zawieść również w innych miejscach bez konieczności włamania choćby do systemu informatycznego. Na przykład kluczowe dla bezpieczeństwa operacji inwestycyjnych oddzielenie front i back office może być łatwo złamane przez parę działających wspólnie osób. Zdarzały się poważne defraudacje w poważnych bankach, gdzie żony rozliczały transakcje swoich małżonków lub odwrotnie. Poza samą "techniczną" znajomością zagrożeń konieczne jest dokładne poznanie czterech podstawowych elementów budujących każdą organizację (ludzi, technologii, struktury organizacji i procesów w niej zachodzących) oraz współzależności między nimi. Bez tej wiedzy jesteśmy narażeni właśnie na takie niezidentyfikowane ryzyka jak w przypadku wymienionego wyżej banku. Oczywiście chyba dla każdego typu działalności wymyślone już zostały pewne standardowe schematy działań. By ograniczyć się tylko do tzw. ryzyk czystych: istnieją "polecane i sprawdzone" systemy zabezpieczeń mienia, czy budynków, istnieją standardowe rozwiązania ubezpieczeniowe, gdzie wystarczy podać łączną wartość majątku, by otrzymać polisę i móc zapłacić składkę. Jednak przy zastosowaniu takich rozwiązań istnieje olbrzymie prawdopodobieństwo pozostawienia poza ochroną znacznej części ryzyk. Jest ono tym większe im większy i bardziej skomplikowany jest organizm, który ma być chroniony. Z drugiej strony rozwiązania standardowe zwykle budowane są na potrzeby różnych sytuacji i bardzo często znacznie przekraczają wystarczające w konkretnym przypadku parametry. Oznacza to automatycznie, że organizacja może być jednocześnie w pewnych obszarach nieodpowiednio zabezpieczona, a w innych - płacić za coś czego wcale nie potrzebuje. Identyfikacja ryzyka W zarządzaniu ryzykiem poznanie zagrożeń na jakie narażona jest organizacja następuje zwykle dwuetapowo. Najpierw dokonywana jest identyfikacja ryzyk występujących w organizacji, a dopiero później ich dokładna ocena i pomiar. Trzeba podkreślić, że przy identyfikacji ryzyka nie powinno się brać pod uwagę ani wielkości poszczególnych ryzyk (mierzonej zazwyczaj poprzez prawdopodobną lub maksymalną stratę, która w efekcie ich realizacji może wystąpić), ani tym bardziej prawdopodobieństwa ich wystąpienia. Tak wyraźne oddzielenie czynności poznawczej jaką jest identyfikacja zagrożeń oraz technicznej jaką jest ich pomiar ma swój bardzo głęboki sens. Jak można bowiem dobrze zmierzyć ryzyko (cokolwiek miałoby to dla nas na tym etapie dokładnie znaczyć) jeśli nie znamy jeszcze w dostateczny sposób przedmiotu naszego pomiaru? A poznać dokładnie ryzyko to wskazać nie tylko możliwe bezpośrednie skutki jego realizacji, ale przede wszystkim możliwe przyczyny oraz wszystkie - bliższe i dalsze - efekty wystąpienia konkretnego zdarzenia. Tak więc identyfikacja ryzyka rozpoczyna właściwy proces jego zarządzania. Do głównych zadań tego etapu należy: - wyszukanie obszarów, gdzie organizacja narażona jest na stratę / szkodę,
- znalezienie możliwych zdarzeń prowadzących do wystąpienia takiej straty / szkody.
Informacje te powinny być dodatkowo uzupełnione badaniem: - konkretnych ryzyk mogących wystąpić jako przyczyna i / lub skutek zdarzeń,
- czynników wpływających na realizację tych ryzyk.
Jak szukać ryzyka? Możliwe są dwie drogi identyfikacji ryzyk. Pierwsza, klasyczna polega na kolejnym badaniu wrażliwości organizacji na kolejne ryzyka. Opracowywane jest wtedy zwykle zestawienie wskazujące na możliwe konsekwencje wystąpienia ognia, powodzi, wybuchu, kradzieży, defraudacji itd. w badanej organizacji. Ta droga jest bardzo prosta i stosunkowo skuteczna nawet przy organizmach średniej wielkości. Niestety posiada ona też przynajmniej trzy poważne wady: - istnieje możliwość pominięcia w badaniu jakiegoś niestandardowego ryzyka,
- jedno ryzyko może powodować znaczną ilość różnych szkód, co często prowadzi do pominięcia części z nich jako "mniej istotnych",
- nawet chcąc wymienić wszystkie szkody, które może spowodować realizacja badanego ryzyka, bardzo trudne jest dotarcie do kolejnych, pośrednich skutków zdarzenia.
Pierwsza wada klasycznej drogi identyfikacji ryzyka jest chyba oczywista. Jeżeli nie znamy już wcześniej jakiegoś zagrożenia - nie będziemy mogli go badać. Wprost prowadzi to do znacznego zawężenia analizy w wypadku organizacji o specyficznej działalności, czy ze specyficznym sprzętem. Podam przykład takiej sytuacji, który ze względu na nasze ówczesne zapóźnienie dostaliśmy kilka lat temu w Polsce "w teczce". Może się on więc z tego powodu wydać wielu osobom oczywisty, czy nawet głupi. Jednocześnie przykład ten doskonale obrazuje właśnie to jak bardzo obowiązujące standardy wpływają na sposób naszego postrzegania świata, a w tym wypadku zagrożeń przez nas samych. Przed kilkunastu laty, kiedy sprzęt komputerowy wchodził dopiero do biznesu na świecie, standardem było badanie zagrożeń na bazie kolejnych ryzyk. Okazało się bardzo szybko, że metoda ta nie sprawdza się w przypadku elektroniki zupełnie. W swej pierwotnej wersji wcześniej sprawdzona wielokrotnie metoda nie uwzględniała na przykład udaru cieplnego, który - zwykle niegroźny dla normalnych maszyn potrafił niszczyć "na odległość" elektronikę. Uzupełniono zestaw ryzyk. Pojawił się z kolei problem dymu i sadzy, które - znów niegroźne dla mechanizmów starszego typu - dla elektroniki były zabójcze. Dodano ten element. W czasie kolejnych akcji ratowniczych systemy elektroniczne były znowu kompletnie niszczone strumieniami lejącej się z najnowszych urządzeń tryskaczowych wody, której nie uwzględniano nigdy na listach badanych ryzyk. Dopiero zmiana metody oceny zagrożeń związanych z elektroniką pozwoliła na uniknięcie tego typu błędów. Co oczywiste musiało to dalej pociągnąć za sobą konsekwentną zmianę zasad asekuracji ryzyk związanych z elektroniką. Nie można już było chronić oddzielnie powodzi, czy kradzieży, co oferowały klasyczne polisy, a trzeba było po prostu chronić sam sprzęt, czy urządzenia elektroniczne. W ten sposób powstały znane u nas niemal od samego początku, tj. od momentu transformacji gospodarki, a w szczególności rynku ubezpieczeniowego, polisy "elektroniczne", gdzie ubezpieczyciele oferują ochronę na bazie wszystkich ryzyk. Chronią oni w ten sposób właśnie ubezpieczony sprzęt, a nie wystąpienie konkretnych zdarzeń takich jak ogień. Druga wada klasycznej drogi identyfikacji zagrożeń stanie się oczywista jeśli spróbujemy wymienić przykładowo wszystkie możliwe konsekwencje pożaru fabryki. Kolejno: - zniszczenie własnego mienia, a w tym budynków, maszyn, środków obrotowych, wyrobów gotowych,
- uszkodzenia ciała lub śmierć pracowników, kadry managerskiej oraz ewentualnie osób trzecich,
- zniszczenie minia osób trzecich,
- utrata zysku na wyrobach gotowych przeznaczonych już do wysyłki / odbioru,
- przerwa w produkcji i związana z tym utrata zysku,
- możliwość poniesienia kar umownych w związku z niezrealizowaniem kontraktów,
- utrata klientów na rzecz konkurencji i związana z tym długookresowa utrata zysku.
Wszystko? Chyba każdy czytelnik będzie w stanie uzupełnić tę listę o jakieś nowe elementy. Skomplikowanie takiej analizy rośnie przy tym niemal wykładniczo wraz ze wzrostem wielkości i skomplikowania samej organizacji. Dla dużych, wielooddziałowych przedsiębiorstw osoba odpowiedzialna za zarządzanie ryzykiem w firmie - risk manager, jest przy takim podejściu zmuszony do pomijania coraz to większych "szczegółów". I wreszcie przy klasycznej drodze identyfikacji ryzyka konieczne jest bezpośrednie śledzenie kolejnych, coraz bardziej pośrednich skutków ryzyk i zdarzeń. Również tu, wraz ze skomplikowaniem badanej organizacji dokładne wykonanie takiego śledzenia jest coraz trudniejsze. Jeśli trudno jest wymienić wszystkie bezpośrednie skutki zdarzenia to podobnie lub nawet trudniej przyjdzie nam określić konsekwencje każdego z nich. Jakie bowiem dalsze efekty może mieć wymieniona chwilę wcześniej przy "pożarze" fabryki konsekwencja nr 2, tj. uszkodzenie ciała lub śmierć pracowników, kadry managerskiej oraz ewentualnie osób trzecich? Czy jesteśmy w stanie wymienić je wszystkie? Przy identyfikacji zagrożeń alternatywą podejścia "od ryzyka" jest - pokazane już przy przykładzie z elektroniką - podejście "od zdarzenia". W tym wypadku rozpatrujemy nie kolejne ryzyka jakie mogą wystąpić w działalności organizacji, a raczej poszczególne zdarzenia mogące spowodować stratę / szkodę. Później badamy możliwe ryzyka prowadzące do powstania takiego zdarzenia oraz bezpośrednie jego konsekwencje. I tak zniszczenie fabryki z ostatniego przykładu może być spowodowane nie tylko pożarem, ale też wybuchem, powodzią, huraganem. Ponieważ końcowy efekt realizacji różnych ryzyk może być bardzo podobny - fabryka w gruncie rzeczy po prostu nie funkcjonuje - ryzyka te można analizować łącznie. Dodatkowo - ponieważ zapisujemy w naszych danych zniszczenie fabryki, a nie pożar jako przyczynę straty - nie mamy możliwości pominięcia jakiś zagrożeń. Bardzo łatwo jest też przy takim podejściu połączyć ryzyka czyste - związane najczęściej z siłami przyrody lub działaniami człowieka i mogące powodować tylko stratę - z ryzykami spekulatywnymi - związanymi najczęściej z obrotem gospodarczym i mogącymi przynieść przedsiębiorcy zarówno zysk jak i stratę. Jaki jest bowiem problem w dostrzeżeniu wspólnych cech w fabryce nie produkującej założonych dóbr z powodu jakiegoś wydarzenia losowego, a przestojem spowodowanym niesolidnością dostawcy lub nawet ... brakiem popytu na dany towar. Przyczyny są różne - wiele efektów wspólnych. Oznacza to, że możliwa jest ochrona przed tymi konsekwencjami tymi samymi metodami niezależnie od przyczyny powstania przestoju. Jeśli wiele rzeczy można zrobić tak samo (na przykład: odpowiednio sformułować kontrakty z pracownikami w celu ograniczenia strat związanych z przestojem, zapewnić zewnętrznego poddostawcę jeśli fabryka wykonywała tylko jakiś element produktu finalnego itd.), to na pewno będzie to tańsze i efektywniejsze niż organizacja wszystkiego osobno. Gdzie szukać ryzyka? Odpowiedź na to pytanie "Gdzie szukać ryzyka?" jest podstawą jego identyfikacji. Wymienia się zwykle sześć metod szukania miejsc, gdzie mogą potencjalnie wystąpić szkody: - przegląd struktury organizacji, jej działów i departamentów,
- analiza przepływów w organizacji,
- analiza księgowa,
- lustracja obiektów,
- analiza wypadków, które spowodowały szkodę oraz tych, które tylko mogły ją spowodować,
- analiza najsłabszych ogniw oraz przesłanek i odbioru ryzyka.
Najważniejszą metodą - zbierającą informacje ze wszystkich metod poprzednich - jest analiza najsłabszych ogniw, przesłanek oraz odbioru ryzyka. Analiza najsłabszych ogniw ma na celu wskazanie obszarów, gdzie realizacja jakiegoś zdarzenia może przynieść najdotkliwszą stratę. Najsłabszym ogniwem organizacji nie musi być zresztą fabryka, gdzie zgromadzona jest znaczna cześć majątku firmy. Dużo groźniejsza może być mała liczba odbiorców przy jednoczesnej wysokiej konkurencji. W wypadku poważnego zdarzenia, które przerwie produkcje to nie wartość tej przysłowiowej fabryki, ale raczej trwała utrata klientów będzie decydowała o stratach organizacji. W usługach z kolei, w szczególności tych bardziej wyrafinowanych i skierowanych do dużych instytucjonalnych klientów, bardzo często największym zagrożeniem dla firmy są jej pracownicy: ich błędy lub ... opuszczenie przez nich przedsiębiorstwa. Pierwsze może prowadzić do olbrzymich strat w związku z procesami cywilnymi, drugie - do trwałego lub co najmniej okresowego jego paraliżu związanego z niemożliwością prowadzenia działań. Rysunek 1 Możliwe dane do analizy najsłabszych ogniw Dla późniejszej oceny ryzyka równie istotną informacją jak znajomość subiektywnego odbioru poszczególnych zagrożeń przez pracowników. Ich bowiem nastawienie może z jednej strony znacznie ograniczyć prawdopodobieństwo realizacji zagrożenia (jeżeli pracownicy to zagrożenie "doceniają"), a z drugiej znacznie je podwyższyć (jeżeli tego nie robią). W wielu wypadkach - przy późniejszym podejmowaniu ryzyka - odpowiednia akcja szkoleniowa może być najlepszym zabezpieczeniem. Przykładem takiego zwykle niedocenianego - nie tylko u nas, ale i na świecie - zagrożenia jest słynny problem roku 2000. Tylko nieznaczna część firm, czy instytucji przeprowadza obecnie dokładne badania swojego sprzętu i programów wykraczające poza wysłanie kwestionariuszy do poddostawców, klientów oraz do obsługującej ich firmy komputerowej. Z bliższych i bardziej obrazowych zagrożeń można z kolei wymienić możliwość penetracji sieci komputerowej organizacji przez osobę do tego nieuprawnioną. Nie musi tu przy tym chodzić o hakera, który siedząc w pokoju na Karaibach włamuje się do naszej sieci poprzez Internet. Wyobraźmy sobie raczej pracownika, który z zemsty lub innych nawet niekoniecznie dokładnie określonych powodów blokuje skutecznie system firmy. Ile dużych i średnich firm jest w stanie obecnie prowadzić produkcję lub tylko sprzedaż bez komputerów, ile biur jest w stanie bez nich przeżyć chociażby dwa, trzy dni? A do blokady systemu może wystarczyć hasło administratora zostawione jego pomocnikom na klawiaturze, co wg badań jest niestety standardem ... światowym. Określenie i pomiar ryzyka Znając ryzyko, na które wrażliwa jest organizacja możemy przystąpić do jego dokładnego mierzenia. Musi on obejmować dwa aspekty: - wielkość ryzyka rozumiana jako wysokość prawdopodobnej i / lub maksymalnej straty,
- prawdopodobieństwo realizacji (czyli wystąpienia) danego ryzyka.
Dopiero łączna analiza obu tych aspektów daje pełny obraz zagrożenia i będzie częścią modelu ryzyka. Model ten - zbiór ocen wszystkich zagrożeń występujących w organizacji - będzie mógł być wtedy podstawą do decyzji o metodach podejmowania ryzyk w organizacji. Trzeba przy tym zwrócić uwagę, że zarówno wielkość, jak i prawdopodobieństwo realizacji zagrożenia ma kapitalne znaczenie dla wyboru metody jego podjęcia. Rysunek 2 pokazuje najprostszy schemat zależności pomiędzy wielkość i prawdopodobieństwem ryzyka, a potrzebą jego ochrony. Rysunek 2 Wielkość i prawdopodobieństwo ryzyka, a potrzeba jego ochrony | Mała wielkość ryzyka (możliwe tylko małe straty) | Duża wielkość ryzyka (możliwa nawet duża jednorazowa strata) | Małe prawdopodobieństwo wystąpienia ryzyka | Ryzyko nie musi być chronione, bo nawet realizacja nie powoduje zagrożenia dla firmy. | Ryzyko musi być chronione, bo realizacja może być zagrożeniem dla firmy. | Duże prawdopodobieństwo wystąpienia ryzyka | Nie trzeba chronić pojedynczego zdarzenia, ale konieczna jest ochrona przed możliwością wystąpienia ich ciągu (kumulacji). | Ryzyko musi być bezwzględnie chronione. Trzeba rozważyć możliwość rezygnacji z danej części działalności. | Jak zmierzyć wielkość ryzyka? Konkretna metoda pomiaru wielkości ryzyka zależeć będzie głownie od rodzaju ryzyka jakie poddajemy badaniu. Inną metodologię trzeba bowiem stosować wobec tzw. ryzyk majątkowych, a inną wobec ryzyk odpowiedzialności cywilnej. Zawsze jednak będziemy mogli ocenić naszą szkodę poprzez dwie wielkości: - prawdopodobną wysokość szkody,
- maksymalną wysokość szkody.
Prawdopodobną wysokość szkody otrzymamy, kiedy przy jej szacowaniu uwzględnimy wszystkie zabezpieczenia, o których mamy prawo sądzić, że w chwili jej wystąpienia zadziałają. Przy ocenie szkody ogniowej uwzględnimy więc na przykład automatyczne urządzenia tryskaczowe. Przy ocenie maksymalnej szkody zakładamy przeciwnie - w chwili wystąpienia zdarzenia żaden z systemów zabezpieczeń nie działa. Niezależnie od tego, czy dokonujemy pomiaru prawdopodobnej, czy maksymalnej szkody należy wziąć pod uwagę zarówno straty bezpośrednie, jak i pośrednie związane z realizacją danego ryzyka. Wycena strat bezpośrednich jest prostszą, choć i tu napotkać możemy trudne do rozwiązania problemy. Jednym z podstawowych jest wybór metody wyceny strat związanych z uszkodzeniem lub utratą części mienia. Możliwe są tutaj przynajmniej trzy możliwości: - wartość nowa rozumiana jako wartość zakupu / budowy odpowiedniej nowej maszyny / urządzenia / budynku,
- wartość odtworzeniowa rozumiana jako wartość zakupu odpowiedniej używanej maszyny / urządzenia / budynku,
- wartość księgowa brutto.
Dla całych kompleksów budynków, wielkich maszyn możliwa jest też wycena poprzez bieżącą wartość netto możliwych do osiągnięcia dzięki tym budynkom / maszynom zysków. Wybór metody wyceny powinien być dokonany bardzo starannie bowiem rzutuje on bezpośrednio na wyniki analizy. W większości wypadków nie można też przyjąć jednej metody wyceny dla wszystkich składników majątkowych organizacji. Zależnie bowiem od konkretnego sprzętu, czy maszyny organizacja może mieć różne możliwości jej zastąpienia. Więcej problemów pojawia się jeszcze przy analizie strat pośrednich. Oczywiste jest, że w wyniku poważnej szkody majątkowej może spaść produkcja i w rezultacie sprzedaż i zysk. Nawet ocena tego spadku nie jest aż tak trudna. Jak jednak ocenić możliwe straty w rynku powstałe poprzez zajęcie przez konkurencję miejsca organizacji? To jest już zadanie dużo, dużo trudniejsze. Jak zmierzyć prawdopodobieństwo? Pomiar prawdopodobieństwa zajścia interesującego nas zdarzenia powinien polegać przede wszystkim na analizie szkód w podobnych wypadkach, w podobnych warunkach w przeszłości. W żadnym wypadku nie może być przy tym mowy o próbach oceny poprzez statystykę całości zdarzeń podlegających ocenie, ani tym bardziej poprzez gry probabilistyczne. Takie metody mogą stosować zakłady ubezpieczeń, które obejmują ochroną znaczną liczbę obiektów. Risk manager będzie posługiwał się więc przede wszystkim wszelkimi możliwymi zbiorami danych dotyczącymi podobnego majątku i szkód, które tam wystąpiły. Najlepsze dane, które są dostępne to własne dane organizacji. Tutaj bowiem zawsze istnieje pewność, co do ich poprawności oraz pełna znajomość okoliczności wystąpienia zagrożenia. Własne dane organizacji - ze względu na ilość - nie zawsze są jednak wystarczające do przeprowadzenia analizy. Z tego względu konieczne jest posługiwanie się danymi zewnętrznymi - opartymi na ogólnodostępnych zestawieniach i statystykach, informacjach w prasie fachowej, informacjach ekspertów. Przy wykorzystaniu tych danych zawsze jednak należy brać poprawkę na ich niekompatybilność z obecną sytuacją organizacji oraz niepełną znajomość okoliczności wystąpienia zdarzeń. Proces badania danych o analizowanych zdarzeniach powinien być nakierowany na znalezienie dwu najistotniejszych - z punktu widzenia zarządzania ryzykiem - informacji: - ilości zdarzeń, które były lub mogły być przyczyną szkód,
- ilości szkód będących efektem realizacji ryzyka w poszczególnych przedziałach wartości aż do straty całkowitej włącznie.
W polskich warunkach uzyskanie niezbędnych danych może być w wielu wypadkach skrajnie trudne. Nie są bowiem prowadzone w naszym kraju odpowiednie, ogólnodostępne statystyki. Z kolei zakłady ubezpieczeń ściśle chronią te dane, które posiadają i nie są zainteresowane ich upublicznieniem. W tej sytuacji risk manager może opierać się tylko na własnych danych, doświadczeniach zachodnich (które w wielu wypadkach nie odpowiadają naszej rzeczywistości!) oraz informacjach pośrednich takich jak stawki ubezpieczeniowe. Nie daje to jednak odpowiedniej gwarancji poprawności ostatecznego wyniku badania. Model ryzyka Jednak zarówno dane o wielkości jak i o prawdopodobieństwie realizacji ryzyk są w swej bezpośredniej postaci tylko poukładaną w tabelki grupą nic nie mówiących cyferek. Nawet zestawienie wielkości i prawdopodobieństwa dla pojedynczych ryzyk nie mówi wiele o zagrożeniach na jakie narażona jest cała organizacja. Konieczne jest więc przedstawienie całości materiału o ryzyku w organizacji w formie umożliwiającej wykorzystanie zebranej wiedzy. Jest to tym bardziej istotne iż z danych tych korzystać powinien nie tylko sam risk manager, ale również dział finansowy, administracyjny, marketing, kontroli jakości. Będą też z niego korzystać w swych decyzjach managerowie. Dlatego też zwykle przedstawia się efekty identyfikacji, oceny oraz pomiaru ryzyka w tzw. modelu ryzyka. Niezależnie od przyjętej dla tego dokumentu konkretnego schematu - zawsze będzie to opis zagrożeń związanych z prowadzoną w organizacji działalnością ze szczególnym uwzględnieniem ryzyk katastroficznych. W wielu wypadkach model ryzyka będzie zawierać dodatkowo wskazania, co do możliwych metod podjęcia poszczególnych ryzyk. Będzie tak zwłaszcza wtedy, gdy wskazania te wiązać się będą raczej z edukacją pracowników, czy wprowadzaniem pewnych procedur bezpieczeństwa niż na przykład transferem samego ryzyka lub finansowych skutków jego realizacji. Podsumowanie Dla efektywnego i skutecznego kierowania biznesem konieczna jest informacja o zagrożeniach związanych z jego prowadzeniem. Jest to pierwszy element dobrego zarządzania ryzykiem - systemu działania, czy nawet myślenia, który ma zapewnić firmie bezpieczeństwo i stabilny, zgodny z założeniami rozwój. Jednak zawsze zakres, dokładność oraz aktualność informacji o zagrożeniach będzie miała kluczowe znaczenie dla podejmowanych działań zapobiegawczych i zaradczych, a w konsekwencji sprawności całego risk managementu i po prostu przedsiębiorstwa na rynku. Wyjątkowo dużo uwagi trzeba zawsze poświęcić tworzeniu modelu ryzyka, który, szczególnie w Polsce, poza wartością czysto merytoryczną - polegającą na stworzeniu bazy podejmowania decyzji dotyczących bezpieczeństwa organizacji - ma dodatkowo olbrzymią wartość edukacyjną. W naszym kraju bowiem w wielu, nawet bardzo dużych, organizacjach widoczne jest lekceważące podejście do problemu ryzyka. Wynika to najczęściej z nieświadomości, co do rzeczywistej wielkości zagrożeń związanych z prowadzoną działalnością. Praktyka pokazuje, że często sama informacja o potencjalnych skutkach możliwych - i wcale nie tak nieprawdopodobnych - zdarzeń prowadzi do zmiany podejścia kierownictwa wyższego, średniego i niższego szczebla do problemu bezpieczeństwa organizacji. Jednocześnie niestety do profesjonalnego przedstawienia takich zagrożeń konieczne są bardzo szczegółowe badania, w których ludzie ci muszą przynajmniej uczestniczyć, a często nawet aktywnie współtworzyć. Przełamanie tego koła możliwe jest jedynie poprzez zdecydowane działanie managementu, który musi wprowadzić zarządzanie ryzykiem do całości organizacji. W większości polskich firm na efekty działań risk managera lub firmy, która prowadzi na zlecenie całość lub tylko elementy zarządzania ryzykiem, nie trzeba długo czekać. Przeważnie już po przeprowadzeniu identyfikacji, oceny i pomiaru ryzyka oraz stworzeniu modelu ryzyka zaczynają być widoczne znaczne uchybienia w dotychczasowych programach ochrony. Oczywiście zawsze można przedkładać bardziej dynamiczny (bo przy mniejszych kosztach oraz nie ograniczony wskazaniami zarządzania ryzykiem) rozwój nad bezpieczeństwo organizacji. Wydaje się jednak, że w Polsce minął już czas takich dzikich biznesów. Marcin Z. Broda | Uwaga! Jest to część prowadzonego przeze mnie dawniej, starego serwisu ryzyko.pl. Znaczna część informacji na tej stronie może więc być już nieaktualna a nawet fałszywa. Z drugiej strony czasem można przekonać się jakie były przewidywania i plany, a jak potoczyła się rzeczywistość.. Marcin Z. Broda | Profesjonalnie o ubezpieczeniach.. | | |