Czasem, już tylko czasem się irytuję. Może to już ten wiek, że nie ma co…
Nie ma RYZYK. Jest RYZYKO.
Wiem, że w normie, nawet tak szacownej jak ISO 31000 jest rozpoznanie ryzyk i szans, ale to jest niestety powielana głupota. Zagrożeń i szans powinno być, a z nich są skutki mniej lub bardziej prawdopodobne, a więc ryzyko. Ale nie o normie dziś i dość niefortunnym zestawieniu skutków i prawdopodobieństwa (ryzyka) i potencjalnych przyczyn (szans). A o tym, jak za sprawą przeciągania liny ważności (ja jestem ważny i moja racja jest najmojsza) rozwodniono zagadnienie ryzyka w organizacji. Które obecnie próbuje się naprawić, ale niestety słabo to idzie. Słabo, bo są grupy interesu, które nie są wcale chętne oddać prymatu “ważności ryzyka”.
Zacznijmy może od tego czy można wywołać i co wywołuje RYZYKO. Nic. Sam używam takiej frazy jako dość dużego uproszczenia, ale ryzyko się nie materializuje. Bo nie może. Materializuje się skutek, który przewidzieliśmy. I tenże skutek miał w naszych szacunkach (szacowanie i ocena ryzyka) możliwość większą lub mniejszą, aby zaistnieć. Jako konsekwencja zdarzenia, później incydentu. Nadal jednak ryzyko w tym najbardziej znanym modelu to kombinacja prawdopodobieństwa i skutku. Jeśli nie ma prawdopodobieństwa – nie ma ryzyka. A jak się skutek zmaterializował, zaistniał w 100% to jakie to ryzyko, jak… to już pewność? Bo jest. Skutek znaczy.
Gdy już się prześpimy z tematem, że to nie ryzyko zaistniało, a skutek oszacowany z pewnym prawdopodobieństwem i już nie jest prawdopodobny, a pewny (stał się faktem) czas na to, aby zadać sobie pytanie czy są różne ryzyka.Dla branżystów i “przeciągaczy liny” punkt widzenia jest taki, że oczywiście, że są. Ryzyko prawne, RODO, ryzyko reputacyjne, ryzyko fizyczne, finansowe i .. tyle ich będzie grup ile działów w firmie.
Dla przykładu cofnięcie koncesji na działalność. Ten skutek często przypisywany jest do kategorii prawne, czasem regulacyjne (w sensie organ nadzoru rynku to ten, co wywołał skutek). Tylko czy przypadkiem po cofnięciu koncesji nie mamy problemu z działalnością operacyjną? Wszak nie możemy z punktu widzenia prawa realizować usług objętych zezwoleniem, bo go już nie ma. A jak się mają do tego skutki umowne, czyli brak obsługi klientów dotychczasowych? Kary umowne za brak wykonania usługi?
Myślę, że już widać do czego zmierzam. Żaden incydent nie jest jednorodny. Skutki oczywiście zaistnieją w różnym czasie i z różną siła, ale to jest właśnie RYZYKO. Skutki w wielu obszarach działania. Ryzyko jest JEDNO. Z jednego zdarzenia. Budowanie do każdego zdarzenia skutków w jednym obszarze (branży) to wywalanie pieniędzy na kilka czy kilkanaście systemów, które jak przyjdzie co do czego nie zadziałają. Ponieważ okaże się, że skutek wystąpił nie tylko w obszarze prawnym czy finansowym, ale też operacyjnie, regulacyjnie, odszkodowawczo i .. w innych kategoriach, które sobie radośnie wymyśliliśmy lub pozwoliliśmy wymyślać. Lub nie wymyśliliśmy, a przeoczyliśmy (nie ma takiego działu w naszej firmie, aby je dostrzegł. Skutki).
Pisząc ten krótki tekst przypomniał mi się audyt jednego z największych banków w Polsce. Dotyczył bezpieczeństwa informacji, ciągłości działania i jakości w bezpieczeństwie. Próba zidentyfikowania skutków operacyjnych dla niektórych zdarzeń była jak obrona Częstochowy. Z ciągle powtarzanym tekstem – to nie taki rodzaj ryzyka robicie. Podobnie pan redaktor z TVN CNBC Business na jednym ze spotkań na Giełdzie Papierów Wartościowych. On też widział różne ryzyka. W tamtym czasie (10 lat temu) nazwałem to ryzykiem skumulowanym. Ot taki kompromis, aby nie drażnić zbyt ważnych ludzi w organizacjach. Dziś czyjeś rozdrażnienie średnio mnie interesuje. Po prostu nie lubię kłamać a już zdecydowanie mam alergię na kłamstwo wobec zarządów i tych, co mnie wynajmują.
Dlatego RYZYKO jest jedno. Skutki mogą być w różnych obszarach. I mieć różne prawdopodobieństwo wystąpienia. Ale dopiero ich kombinacja, kombinacja skutków i możliwości ich wystąpienia, znoszenie się czy odwrotnie – wzmaganie, to jest właśnie RYZYKO.
Gdy tak podejdziecie do zagadnienia to zrozumiałe się stanie, dlaczego w wyniku banalnych incydentów padło wiele firm. Ponieważ oszacowały tylko jeden skutek w swoim ryzyku, ten który branżyście co to robił pasował. Pozostałych nie zauważył…Firma też.
PS i nie jest to ocena wpływu na biznes. To zupełnie inna bajka, choć powiązana. Wpływ zaczyna się od materializacji skutku.